Document toolboxDocument toolbox

3.2.3.2. Patching en hardening als maatregel

Patching en hardening zijn preventieve maatregelen.


Eén van de makkelijkste doelen voor een aanvaller is een niet goed actueel gehouden systeem met de laatste patches en updates en een systeem waarbij functionaliteiten en privileges niet zijn teruggebracht tot het minimum dat noodzakelijk is voor het uitvoeren van de taak. Dit noemt men hardening.

3.2.3.2.1. Patching

Patching is gericht op het verminderen van risico's als gevolg van benutting van gepubliceerde technische kwetsbaarheden of bugs in OS (operating system of besturingssysteem) en software.

Patchmanagement is het proces waarmee patches op gecontroleerde beheerste (risicobeperkende) wijze uitgerold kunnen worden. Patches zijn doorgaans kleine programma’s die aanpassingen maken om fouten op te lossen of verbeteringen aan te brengen in bestaande programmatuur en/of hardware.

Patches zijn geen upgrades. Upgrades bevatten technische of functionele verbeteringen en zijn meestal grote programma’s die een uitgebreid en grondig testschema moeten ondergaan alvorens uitgerold te worden. Patches moeten ook getest worden vooraleer in productie gezet te worden, maar dit testschema is beperkter dan bij upgrades.


Het doel van patchmanagement is tweeledig, het is gericht op:

  • Het inzichtelijk maken van de actuele stand van kwetsbaarheden en toegepaste patches binnen de beheerde infrastructuur; en

  • Een zo efficiënt mogelijk wijze met zo min mogelijk verstoringen stabiele (veilige) systemen te creëren.

3.2.3.2.2. Hardening

Hardening is het proces waarbij overbodige functies in besturingssystemen uitgeschakeld worden en/of van het systeem (servers, netwerkcomponenten zoals firewalls, routers en switches, desktops, laptops, mobiele apparatuur, …) verwijderd worden. Daarbij hoort ook het toekennen van zodanige waarden aan beveiligingsinstellingen en -parameters dat hiermee de mogelijkheden om een systeem te compromitteren, worden verlaagd. Het verwijderen van niet gebruikte of onnodige gebruikers of serviceaccounts, en het wijzigen van standaard paswoorden die op sommige systemen aanwezig kunnen zijn, behoren ook tot hardening.