Windows 11 Business Baseline 2026
Den Ultimative Guide: Sådan Hardener du Windows 11 25H2/24H2 Professionelt**
En step‑by‑step vejledning til sikre, stabile og moderne Windows 11‑arbejdsstationer i 2026
Introduktion
Windows 11 udvikler sig hurtigt — og i 2026 er sikkerhedsniveauet i OS’et højere end nogensinde før. Samtidig har Microsoft introduceret en ny quarterly baseline‑kadence, Hotpatch‑modellen, updated security baselines og omfattende hardening‑ændringer, som alle virksomheder bør implementere for at opnå en moderne, robust og fremtidssikret Windows 11‑platform.
Microsofts januar 2026 baseline (KB5074109) markerer et vigtigt sikkerhedsmæssigt checkpoint og indeholder bl.a. AI‑komponentopdateringer, netværksrettelser og ændringer, der påvirker Secure Boot og deployment. [windowsforum.com], [cybercory.com]
I denne guide gennemgår vi:
- hvorfor baseline‑hardening er kritisk
- hvad der er ændret i 2026
- hvordan du opsætter en professionel Windows 11 Business Baseline
- TODO‑IT’s anbefalede konfigurationer til danske virksomheder
Hvorfor Windows 11 Hardening er Kritisk i 2026
En forkert eller mangelfuld Windows‑opsætning kan føre til:
- Sårbare endpoints pga. manglende baseline‑politikker
- Brud på compliance (NIS2, ISO27001, CIS, Microsoft Security Baselines)
- Kompatibilitetsproblemer, da sikkerhedsopdateringer integrerer nye kontroller
- Flere angrebsflader via NTLM, SMB, print services, apps og widgets
- Unødvendige genstarter hvis hotpatch‑kadencen ikke følges
Microsoft understreger, at baseline‑opdateringer er obligatoriske checkpoints, hvor både SSU (Servicing Stack Update) og LCU (Latest Cumulative Update) samles, og som danner grundlag for hotpatch‑månederne derefter. [windowsforum.com]
Derudover indeholder 2026‑hardening nye regler for auditing, printers, widgets, SMB‑sessions og Copilot‑restriktioner — alt sammen for at styrke arbejdsstationers modstandsdygtighed mod moderne angreb. [cyber.gov.au]
Forberedelser: Det skal være på plads før du bygger baseline
📋 Kravafdækning
- Windows version: 24H2 eller 25H2
- Udrulningsmetode: Intune, GPO eller hybrid
- Kategori af enheder: Firmadevice, shared device, privileged workstation
- Compliancekrav: CIS, STIG, Microsoft Baseline, NIS2
- App‑kompatibilitet: Hvilke systemer kræver undtagelser?
🔐 Sikkerhedsforberedelser
- Sørg for at alle enheder kører en gyldig baseline (26100.7623 / 26200.7623) [windowsforum.com]
- Gennemgå eksisterende GPO’er for forældede policies
- Afgør om virksomheden anvender NTLM internt
- Tjek driver‑kompatibilitet (WDS hardening påvirker deployment workflows) [cybercory.com]
Windows 11 Baseline 2026: De vigtigste ændringer
Her opsummeres de mest kritiske ændringer i 2026‑baseline (25H2):
🔧 1. Print Security (Nye krav)
- Kræv IPPS (HTTPS) for alle IPP‑printere
- Håndhæv TLS/SSL‑politik for printerkommunikation
Disse krav er nu foreslået som standard i Microsofts 25H2 baseline.
🔧 2. NTLM Hardening
- NTLM enhanced logging aktiveres som standard
- Domain‑wide NTLM logging anbefales
Formålet er bedre synlighed, før NTLM udfases i kommende Windows‑generationer.
🔧 3. ASR (Attack Surface Reduction) Udvidelser
Ny anbefalet ASR‑regel:
- Block process creations originating from PSExec and WMI commands
– (d1e49aac‑8f56‑4280‑b9ba‑993a6d77406c)
– sat til Audit som standard
🔧 4. Widgets & Lock Screen Restrictions
De nye hardening‑anbefalinger inkluderer:
- Deaktiver widgets på lock screen
- Deaktiver Widgets Board
[cyber.gov.au]
🔧 5. App Install Controls
- MSIX streaming install domænebegrænsninger
- Kontrolleret liste over pakke‑familie‑navne til non‑admin install
[cyber.gov.au]
🔧 6. SMB Hardening
- Audit SMB client SPN support
- Strammere default session‑håndtering
[cyber.gov.au]
🔧 7. Secure Boot Hardening
Microsoft introducerer nyt kontrollag til phased deployment of Secure Boot certificates, for at undgå store boot‑failures i enterprise‑miljøer (reaktion på tidligere Secure Boot problemer)
[cybercory.com]
🔧 8. Deployment Hardening
Dette kan påvirke automatiske image‑flows, der tidligere kørte uden brugerinteraktion.
Den Ultimative Windows 11 Business Baseline (TODO‑IT anbefaling)
Nedenstående baseline er designet til danske SMB/Enterprise‑miljøer.
Trin 1: OS‑baseline og Patch Management
1. Installer seneste baseline (KB5074109)
2. Følg Hotpatch‑kadencen
Microsoft har ændret model til quarterly restart-required baselines (Jan/Apr/Jul/Okt)
– to efterfølgende måneder = Hotpatch‑periode uden reboot
[windowsforum.com]
Trin 2: Security Baseline Implementation (GPO/Intune)
🔹 1. Aktivér Microsoft Security Baselines (25H2)
Hent via Microsoft Security Compliance Toolkit.
🔹 2. Aktiver ASR-regler (minimum)
- Block Office child processes
- Block PSExec/WMI process creation (Audit → Enforce senere)
- Block Win32 API calls from Office macro code
🔹 3. Defendernetværk
- Disable NetBIOS name resolution
- Disable LLMNR
🔹 4. Credential Hardening
- Deaktiver WDigest (nu default)
- LSASS Protected Mode
- Kerberos PAC Signatures (default i 2026 baselines)
Trin 3: Hardening af brugeroplevelsen
🔹 1. Widgets deaktivering
🔹 2. Microsoft Store hardening
- Fjern forudinstallerede Store‑apps (anbefalet baseline 2026)
[cyber.gov.au]
🔹 3. Copilot kontrol
- GPO for Copilot er udfaset → nu via PowerShell/AppLocker
[cyber.gov.au]
Trin 4: Printer Security Policy
Trin 5: Auditing og Logging
Minimum:
Almindelige Fejl og Løsninger
❌ Problemer med WDS efter baseline
→ Årsag: Hands-free deployment disabled (kræver workflow‑justering)
[cybercory.com]
❌ Printere slår fejl
→ IPP printere kræver nu IPPS + TLS konfiguration
❌ Widgets dukker op post‑deployment
→ Manglende Intune policy eller AppLocker enforcement
TODO‑IT’s Enterprise Setup Services
Vi hjælper virksomheder med:
- ✔ Udarbejdelse af Windows 11 baseline (25H2/24H2)
- ✔ Intune baselines + Zero Trust endpoint strategi
- ✔ Hardening efter CIS / Microsoft Baselines / NIS2
- ✔ Deployment design (WDS, Autopilot, Hybrid join)
- ✔ Kontinuerlig drift og overvågning
Kontakt TODO‑IT
📞 +45 22 78 27 20
✉️ [email protected]
🌐 www.todo-it.dk
TODO‑IT sikrer, at jeres Windows 11‑miljø er sikkert, stabilt og fremtidssikret — baseret på de nyeste 2026‑standarder.