top of page
Bittech kunder Logoer (1).png

Endpoint sikkerhed i praksis, baselines for Windows, macOS og mobile enheder

  • Forfatters billede: Michael Lund
    Michael Lund
  • for 5 dage siden
  • 4 min læsning

En endpoint er som en hoveddør til virksomheden. Hvis den står på klem, hjælper det ikke meget, at serverrummet er aflåst. Derfor handler endpoint sikkerhed ikke kun om antivirus, men om faste baselines, der gør det svært at lave fejl, både for brugere og IT.


I små og mellemstore virksomheder er udfordringen tit den samme: få personer, mange enheder, og en hverdag der ikke må gå i stå. Her virker en simpel, konsekvent baseline bedre end en avanceret plan, som aldrig bliver rullet ud.


Nedenfor får du konkrete indstillinger for Windows, macOS og mobile enheder, både en “minimum baseline” og en “høj-sikkerhed baseline”, samt hvor de typisk sættes (GPO, Intune Settings Catalog, MDM-profiler).


Baselines først: sådan gør du sikkerhed håndterbar


En baseline er jeres “standardopsætning”, der rulles ud til alle enheder, og som ikke afhænger af, hvem der lige satte PC’en op. Tænk på den som autopilot: den tager sig af de kedelige ting, hver gang.


Start med at beslutte to niveauer:


  • : det alle kan leve med, uden at skabe support-kaos.

  • : til ledelse, økonomi, IT-admins, og brugere med adgang til følsomme data.


Hvis I kører Microsoft 365, er Microsofts egne baselines et godt udgangspunkt, fordi de løbende opdateres og kan importeres direkte i Intune. Brug som reference: Microsofts guide til Windows security baselines. For mere “hårde” krav kan CIS Benchmarks og NIST checklists bruges som tjekliste, også når man får ekstern IT-hjælp til drift og dokumentation.

Praktisk opsætning:

  • : GPO (lokal AD) eller Intune (Settings Catalog + Endpoint security).

  • : MDM-profiler (Intune, Jamf eller anden MDM).

  • : MDM (compliance + device restrictions), ofte kombineret med Conditional Access.


Når baselines er på plads, kan endpoint-beskyttelsen (AV/EDR) gøre sit arbejde ordentligt. Hvis du vil se, hvordan en klassisk endpoint-løsning typisk pakkes og driftes, giver siden om Endpoint-sikkerhed til din virksomhed et fint billede af “laget ovenpå” baseline.


Windows-baseline i praksis (GPO og Intune)


Windows er stadig den mest angrebne klientplatform i mange SMV’er, især fordi den ofte har flest apps, flest brugere og flest undtagelser. Målet er at få kontrol over kryptering, opdateringer, rettigheder og angrebsfladen.


Minimum baseline (Windows)

Sigt efter disse indstillinger som standard:

  • : Intune Settings Catalog (BitLocker), gem recovery keys i Entra ID, eller via GPO (Computer Configuration > Policies > Administrative Templates > Windows Components > BitLocker).

  • : Intune Endpoint security > Antivirus, eller GPO.

  • : Domain, Private, Public. Intune Endpoint security > Firewall, eller GPO.

  • : Intune Windows Update for Business (ringer, deadlines), eller WSUS/GPO.

  • : Intune Settings Catalog (Microsoft Defender SmartScreen).

  • : Windows LAPS via Intune/GPO, så lokale admin-koder roterer automatisk.


Hvis du vil sammenligne med et bredt, veldokumenteret hardening-sæt, så brug CIS Windows Desktop Benchmarks som kontrolpunkt, især til revisionskrav og “hvorfor har vi valgt det her”.


Høj-sikkerhed baseline (Windows)

Til særligt udsatte brugere kan du stramme op her:


  • : brug “Just Enough Admin”, separate admin-konti, og PIM hvis muligt.

  • : Intune Endpoint security > Attack surface reduction. Start i audit, skift til block.

  • : Intune Settings Catalog (Device Guard), hvor hardware tillader det.

  • : Windows Defender Application Control (WDAC) eller AppLocker (typisk GPO). Start med allow-list af kendte apps.

  • : deaktiver SMBv1, stram NTLM hvor muligt, og slå “LLMNR/NetBIOS” fra i GPO, hvis miljøet kan bære det.


Hold det realistisk: høj-sikkerhed baseline skal testes på en pilotgruppe, ellers ender den som en undtagelse, og undtagelser er der, angreb gemmer sig.


macOS-baseline: stabilt uden at gøre brugerne sure (MDM)


macOS kan være meget sikkert, men kun hvis det styres ensartet. Mange SMV’er får problemer, når Mac-computere kører “som privatmaskiner” uden MDM, uden FileVault, og med brugerens Apple-ID som eneste “styring”.


Minimum baseline (macOS)

Konfigurer i en MDM-profil (Intune device configuration eller Jamf):

  • : escrow recovery key i MDM.

  • : slå auto-install til for macOS sikkerhedsopdateringer, og sæt deadlines.

  • : kun App Store og identificerede udviklere.

  • : og bloker unødvendige indgående forbindelser.

  • : max inaktivitet, kompleksitet, og “wipe” efter for mange forsøg.

  • : Remote Login (SSH), Remote Management, AirDrop (hvis det giver mening).


Som reference til hardening kan du bruge CIS Apple macOS Benchmarks, især når du vil gøre indstillingerne mere målbare.


Høj-sikkerhed baseline (macOS)


  • : giv admin via særskilt konto eller midlertidige rettigheder.

  • : blokér risikable extensions, og kræv opdateret browser.

  • : især synk af virksomhedsdokumenter, hvis I har compliance-krav.

  • : hvor det passer, begræns nye USB-enheder (afhænger af værktøj og behov).


Mac-baselines falder oftest på én ting: enheder der ikke er korrekt enrolled i MDM, eller som blev sat op “før MDM kom”. Få dem ind, eller behandl dem som ukendte.

Mobile enheder: iOS/iPadOS og Android, små valg med stor effekt


Mobilen er tit den mest oversete endpoint. Den har mail, MFA-app, Teams, kundeoplysninger og ofte adgang til alt via SSO. Baseline her handler om ejerskab (BYOD vs firma-enhed), kontrol (enrollment) og efterlevelse (compliance).


Minimum baseline (iOS/iPadOS og Android)

Sæt via Intune (Compliance policies + Device restrictions) eller anden MDM:


  • : ikke 4-cifret, kræv biometrisk plus kode.

  • : som minimum “enforced by platform”, og kræv at enheden ikke er jailbroken/rooted.

  • : bloker adgang hvis OS er for gammelt (compliance).

  • : brug App Protection Policies (MAM) til at undgå kopiering til private apps.

  • : og kræv Play Protect, hvis Android Enterprise bruges.


Vil du støtte dig til en offentlig checklist, så se NIST’s post for iOS/iPadOS 18 guidance, som kan bruges som “har vi tænkt på de vigtige ting”.

Høj-sikkerhed baseline (mobil)

  • : ingen adgang til mail uden device enrollment (eller minimum MAM + stærk Conditional Access).

  • : hvor det er muligt, især til private cloud-backups.

  • : begræns AirDrop, clipboard og “Open In” mellem managed og unmanaged apps.

  • : kombiner compliance med Conditional Access og “sign-in risk”.


Android kan være lige så kontrollerbart som iOS, men det kræver, at I vælger Android Enterprise-setup fra start, og ikke “blander lidt af hvert”.

Udbredte faldgruber, der ødelægger endpoint sikkerhed


De fleste sikkerhedsbrud sker ikke, fordi nogen mangler et produkt. De sker, fordi baselines bliver udvandet over tid.

De klassiske problemer:

  • : det gør malware til “installationsprogram”. Løs det med standardbruger, LAPS, og separate admin-konti.

  • : “vi undtager lige den mappe”. Sæt udløbsdato på undtagelser og kræv begrundelse.

  • : især på bærbare der sjældent er på kontoret. Brug deadlines og rapportering.

  • : mail sat op uden enrollment, eller brugere der skifter enhed uden IT ser det. Tving enrollment via Conditional Access.

  • : høj-risiko brugere skal have ekstra lag, ellers er hele baseline kun så stærk som den svageste enhed.


Hvis det hjælper at få det hele sat i system, kan du tage udgangspunkt i IT-sikkerhedsguide 2025, komplet oversigt og bruge den som tjekliste til politikker og drift.


bottom of page