Windows 11 beveiliging is uitstekend, maar staat niet altijd actief

Het beveiligingssysteem van Windows 11 wordt niet door alle bedrijven met even open armen ontvangen. Voornamelijk de hardwarevereisten en de onduidelijke communicatie door Microsoft doen enkele twijfelen.

Om Windows 11 te draaien, legt Microsoft een reeks voorwaarden op. Deze vereisten zijn dermate streng dat de meeste werkende computers en laptops het besturingssysteem alleen op eigen verantwoordelijkheid kunnen installeren.

In bedrijfscontext is dat verhaal niet anders. IT-beheerspecialist Lansweeper nam de proef op de som en analyseerde Windowstoestellen van zo’n 60.000 organisaties. Uit dat onderzoek bleek dat meer dan de helft van de workstations in organisaties niet voldoen aan de minimumvereisten.

Bedrijven worden door de strenge voorwaarden voor het blok gezet. Het is aan hen om te beslissen of er budget vrijkomt voor nieuwe hardware of dat er wordt geroeid met de riemen die ze hebben. Tijdens dat keuzeproces worden verschillende zaken afgetoetst en stellen meer en meer bedrijven zich de vraag welke beveiligingsmiddelen noodzakelijk zijn in hardware.

Hybride werkomgeving beangstigend voor IT

Het Security Signals-rapport, van Microsoft zelf, geeft in ieder geval duiding bij een eerste zorg van bedrijven. Zo blijkt dat beheerders die instaan voor de beveiliging zich zorgen maken over de impact van een hybride werkomgeving op de beveiliging.

In die conclusie staat het rapport van Microsoft niet alleen, een rapport van HP Wolf Security duidde op dezelfde zorgen. Uit wereldwijd onderzoek bij ongeveer 1.100 IT-beleidsmakers bleek dat 80 procent van de IT-teams te maken krijgt met werknemers die restricties omzeilen. Thuiswerken wordt door 83 procent dan ook gezien als een omgeving waarin beveiligingsincidenten met zekerheid zullen voorkomen.

Windows 11 en hybride werken

Volgens Dave Weston, director of operating systems (OS) security bij Microsoft, verwachten bedrijven dat computerhardware inspeelt op problemen die ontstaan door het nieuwe werkmodel. De OS-kernel blijkt volgens het rapport van Microsoft een vergeten stuk te zijn in de meeste cybersecuritysystemen. De kernel speelt als hart van een besturingssysteem nochtans een cruciale rol in de beveiliging ervan. In functies zoals hardwaregebaseerde kernel-dataprotectie of encryptie van het besturingssysteemgeheugen investeren minder dan de helft van de ondervraagde bedrijven.

Bedrijven verwachten dat computerhardware inspeelt op problemen die ontstaan door het nieuwe werkmodel.
Dave Weston, director of operating systems

Doordat hardware in veel bedrijven niet bijkomend beveiligd is, wordt aan cybercriminelen opportuniteit geboden. Een lek in de beveiliging van Thunderbolt werd bijvoorbeeld in 2020 ontdekt, waardoor het onder andere mogelijk was de wachtwoordbeveiliging van Windows te omzeilen.

De problemen zijn bij bedrijven reeds bekend. Toch geeft 82 procent van de ondervraagden aan dat ze niet over de middelen beschikken om beveiligingswerk te verrichten dat een grote impact heeft. Om welke zaken het dan precies gaat, deelt het rapport niet mee. Het volledige cybersecuritybudget wordt voor hen al opgeslokt door softwarebeveiliging, patching, hardware-upgrades en het oplossen van kwetsbaarheden.

Aangezien de softwaregigant een grote voorstander is van een veilige hybride werkomgeving, geeft het Windows 11 enkele functies mee om de daad bij het woord te voegen. Het besturingssysteem bezit een chip-naar-cloud beveiliging waardoor werknemers overal beveiligd zijn.

Naar eigen zeggen is het nieuwe besturingssysteem de veiligste Windows-uitgave tot nu toe. Het systeem bezit namelijk onder meer een ingebouwde, geavanceerde encryptie, databescherming, robuuste netwerk- en systeembeveiliging en intelligente beveiliging tegen evoluerende dreigingen.

Niet altijd ingeschakeld

Het is wel een kwestie je niet te laten vangen door het woord ‘ingebouwd’. Weston wijst er namelijk op dat alle beveiligingsopties niet altijd standaard zijn ingeschakeld: “De configuratie is moeilijk en er zijn prestatieproblemen.” Bedrijven die computers kopen waarop Windows 11 staat geïnstalleerd, moeten zich geen zorgen maken. Alleen in de kleine groep gelukkigen die kan upgraden van Windows 10 naar Windows 11 moeten beheerders eraan denken de beveiliging handmatig in te stellen.

Om het beste uit de beveiligingsopties te halen, raadt Microsoft een 11e generatie Intel Core-processor aan, of alternatief als een AMD Ryzen 3000 of Qualcomm 8C aanbevolen. Microsoft stelt verder 64 GB SSD-opslag en 8 GB RAM voor.

De vereisten om het besturingssysteem te kunnen draaien, worden met andere woorden dus nog wat bijgeschaafd. Windows 11 vraagt namelijk om 64 GB opslag, maar geen SSD en de helft van de RAM-capaciteit.

Heb je het nieuwe besturingssysteem te pakken en kan je laptop ook nog eens de beveiligingsvereisten aan, dan kan je de functies zelf instellen. Ga hiervoor naar Instellingen > Apparaatbeveiliging > Kernisolatie en Beveiligingsprocessor. Hetzelfde proces kan gevolgd worden in Windows 10. Dat beschikt namelijk ook al over heel wat veiligheidsinstrumenten, die je ook handmatig moet inschakelen. Houdt in dat geval wel rekening met een impact op de prestaties.

De beveiligingsopties die je via deze weg kan aanzetten, zijn:

Trusted Platform Module (TPM): biedt beveiligingsvoordelen voor systeemhardware, platformbeheerders en -gebruikers.
Windows Defender System Guard: biedt bescherming voor kritieke bronnen zoals Windows Verificatie, Windows Hello, single-sign-on en TPM.
Bescherming van code-integriteit gebaseerd op virtualisatie: verbetert het dreigingsmodel en biedt sterkere bescherming tegen malware die de Windows Kernel probeert uit te buiten. Code van applicaties wordt van elkaar afgezonderd, wat de capaciteiten van malware aantast.
Kernel Direct Memory Access Protection: beschermt poorten en plug-intoestellen zoals Thunderbolt en USB4.
Bescherming van de kernonderdelen: speelt in op geavanceerde aanvallen en biedt meer zekerheid bij gegevensverwerking in enkele belangrijke industrieën zoals de medische zorg.

Zero trust

Microsoft ziet zero trust zelf als een principe dat soelaas kan brengen in de hybride werkwereld. Volgens het bedrijf is het principe nodig om in te kunnen spelen op ‘de complexe moderne omgeving de hybride werkplek omarmt, en mensen, apparaten en gegevens beschermt, op elke locatie’.

Bedrijven die werknemers willen beschermen door het zero trust-principe, zullen wat dieper in hun buidel moeten tasten. Endpoints worden met Windows 11 namelijk alleen maar beschermd in het Entreprise E5-pakket. Dat is het meest uitgebreide pakket dat een onderneming kan kiezen en biedt extra bescherming bovenop het Pro-pakket.

Windows 11 Home, Pro en Enterprise: welke versie past bij jouw onderneming?

Meer functies in de toekomst

Volgens Weston zijn er in het Insider-programma heel wat gebruikers die de beveiligingsopties perfect kunnen aanzetten doordat zij over het geschikte materiaal beschikken. Dat gegeven biedt ook een toekomstperspectief aan virtualisatie. “Virtualisatie kan voor problemen zorgen op verouderde hardware. De hardware waar we vandaag over beschikken maakt het mogelijk om over een geweldige ervaring te beschikken.”

Het principe wordt al gebruikt in de Android-omgeving, die momenteel ondersteund wordt in de recentste bètaversie van Windows 11 in de VS. Virtualisatie maakt het ook mogelijk om applicaties beter te beschermen door die te laten draaien in individuele containers. Die functie kondigde Microsoft aan voor Windows 10X, maar is nog niet overgedragen aan Windows 11.

Een andere grote opportuniteit ziet Weston voor Windows Sandbox, een lichte desktop-omgeving gemaakt om applicaties veilig te laten draaien in isolatie: “Er is een enorme betrokkenheid bij Sandbox en dat geeft ons de energie om in de toekomst soortgelijke dingen te doen. Uiteraard wordt het met Windows 11 nog aantrekkelijker om in die ruimte te gaan innoveren, vanwege de goede hardwarerichtlijnen en prestaties van virtualisatie.”

Computers met Pluton

Onder de beveiligingsopties van Windows 11 is een TMP te vinden. Dat is een computerchip die onderdelen veilig kan opslaan om de authenticiteit van je computer of laptop te controleren.

Beveiliging zonder detectie: de kracht van virtuele machines

In de toekomst brengt Microsoft daar zelf hardware voor uit onder de naam Pluton. Het is aan fabrikanten van chips om de opvolger van de TPM-module in hun eigen designs te incorporeren. Microsoft stapt over op een eigen product omdat de bestaande alternatieven niet in alle gevallen ontworpen zijn met het idee het toestel te beschermen. Weston vertelt hoe Pluton de cyberbeveiliging in de toekomst zal veranderen: “Pluton is in staat verschillende zaken aan te pakken, maar in hoofdzaak maakt het TMP’s heel toegankelijk en erg betrouwbaar.”

Windows 11 heeft dus heel wat te bieden om de veiligheid van organisaties op te krikken tot op het hardwareniveau. Het is alleen van belang op de hoogte te zijn en de beveiligingsopties ook werkelijk in te schakelen. Wat Microsoft in de toekomst zal uitbrengen, ziet er veelbelovend uit. Het blijft alleen de vraag in welke mate de bijkomende beveiliging toegankelijk is en wanneer alles beschikbaar wordt. In ieder geval is het duidelijk dat bedrijven klaar zijn om te investeren in de beveiliging van hun hardware.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.

Windows 11 biedt beveiliging van de bovenste plank, maar die staat niet altijd actief