Elk apparaat MOET worden voorzien van een door de organisatie bepaalde basis software image die een beveiligde configuratie omvat (inclusief anti-malware software).
De klok van elk apparaat MOET bij registratie worden geconfigureerd met de door de organisatie goedgekeurde tijdsbron.
Elk apparaat MOET worden gekoppeld aan een binnen de organisatie geregistreerde gebruiker.
Elk apparaat MOET worden geconfigureerd zo dat een gebruiker zich steeds moet authenticeren conform het beleid Toegangsbeveiliging:
Indien er een initieel wachtwoord of pincode is ingesteld bij uitlevering, MOET deze onmiddellijk veranderd worden door de gebruiker bij het eerste gebruik in een nieuw vertrouwelijk wachtwoord;
Gebruikersaccounts MOETEN worden opgezet zonder admin-rechten; en
Gebruikers die admin-rechten nodig hebben op hun PC voor het uitoefenen van hun taken, MOETEN worden geregistreerd en goedgekeurd.
Voor eventueel lokaal admin gebruik MOET er gebruik gemaakt worden van aparte admin accounts met een strikt wachtwoordbeleid en waarvan het gebruik beperkt is in tijd. Het wachtwoord MOET na gebruik en na een bepaalde periode opnieuw ingesteld worden (rollover). Als alternatief MAG een oplossing gebruikt worden waarbij bepaalde taken als admin (verhoogd) uitgevoerd mogen worden.
Apparaten MOETEN worden voorzien van hardware-encryptie dat voldoet aan het beleid Cryptografie.
Apparaten MOETEN worden voorzien van een door de organisatie goedgekeurde en beheerde configuratie voor werken van op afstand (bijv. VPN software). De gebruiker MOET deze configuratie gebruiken en MAG GEEN andere configuratie voor werken van op afstand gebruiken.
