Patch management voor MKB zonder MDM-spierballen

Patches moeten erop. Maar hoe dwing je dat af als je geen Intune of Jamf hebt? Hier de pragmatische minimum-setup.

Niet-gepatchte systemen zijn de grootste voedingsbodem voor aanvallen. Bij grote organisaties doet een MDM dit. Zonder MDM moet je meer op beleid en monitoring leunen.

De drie lagen

1. OS-updates: Windows Update, macOS Software Update. Automatisch aan, deferral max 2 weken. Bij enterprise-editie: via Windows Update for Business.
2. Browser: Chrome, Edge, Firefox update zichzelf. Enforce via Chrome Enterprise policy als het niet gebeurt.
3. Applicaties: Office, Acrobat, Teams via native updaters. VPN-clients. Password manager. Dit is waar veel MKB'ers achterlopen.

Monitoring zonder MDM

• Kwartaal-enquête: "stuur screenshot van About → version" per kritieke app.
• Bij Entra ID aangemelde devices: check via Security → Devices compliance report.
• Chrome Enterprise policy rapporteert versies centraal (gratis met Google Workspace).

Verplichting communiceren

Eens per kwartaal een "patch-dag" — iedereen runt updates. Manager ziet voltooiing. Niet persoonlijk maar als team-moment.

Naar Intune toe?

Business Premium inclusief Intune is €19/user/maand en automatiseert dit grotendeels. Bij > 20 medewerkers begint dat zich snel terug te verdienen. Zie Intune basics.

Zie ook: security-pillar.