Het beveiligingssysteem van Windows 11 wordt niet door alle bedrijven met even open armen ontvangen. Voornamelijk de hardwarevereisten en de onduidelijke communicatie door Microsoft doen enkele twijfelen.
Om Windows 11 te draaien, legt Microsoft een reeks voorwaarden op. Deze vereisten zijn dermate streng dat de meeste werkende computers en laptops het besturingssysteem alleen op eigen verantwoordelijkheid kunnen installeren.
In bedrijfscontext is dat verhaal niet anders. IT-beheerspecialist Lansweeper nam de proef op de som en analyseerde Windowstoestellen van zo’n 60.000 organisaties. Uit dat onderzoek bleek dat meer dan de helft van de workstations in organisaties niet voldoen aan de minimumvereisten.
Bedrijven worden door de strenge voorwaarden voor het blok gezet. Het is aan hen om te beslissen of er budget vrijkomt voor nieuwe hardware of dat er wordt geroeid met de riemen die ze hebben. Tijdens dat keuzeproces worden verschillende zaken afgetoetst en stellen meer en meer bedrijven zich de vraag welke beveiligingsmiddelen noodzakelijk zijn in hardware.
Hybride werkomgeving beangstigend voor IT
Het Security Signals-rapport, van Microsoft zelf, geeft in ieder geval duiding bij een eerste zorg van bedrijven. Zo blijkt dat beheerders die instaan voor de beveiliging zich zorgen maken over de impact van een hybride werkomgeving op de beveiliging.
In die conclusie staat het rapport van Microsoft niet alleen, een rapport van HP Wolf Security duidde op dezelfde zorgen. Uit wereldwijd onderzoek bij ongeveer 1.100 IT-beleidsmakers bleek dat 80 procent van de IT-teams te maken krijgt met werknemers die restricties omzeilen. Thuiswerken wordt door 83 procent dan ook gezien als een omgeving waarin beveiligingsincidenten met zekerheid zullen voorkomen.
Windows 11 en hybride werken
Volgens Dave Weston, director of operating systems (OS) security bij Microsoft, verwachten bedrijven dat computerhardware inspeelt op problemen die ontstaan door het nieuwe werkmodel. De OS-kernel blijkt volgens het rapport van Microsoft een vergeten stuk te zijn in de meeste cybersecuritysystemen. De kernel speelt als hart van een besturingssysteem nochtans een cruciale rol in de beveiliging ervan. In functies zoals hardwaregebaseerde kernel-dataprotectie of encryptie van het besturingssysteemgeheugen investeren minder dan de helft van de ondervraagde bedrijven.
Bedrijven verwachten dat computerhardware inspeelt op problemen die ontstaan door het nieuwe werkmodel.
Dave Weston, director of operating systems
Doordat hardware in veel bedrijven niet bijkomend beveiligd is, wordt aan cybercriminelen opportuniteit geboden. Een lek in de beveiliging van Thunderbolt werd bijvoorbeeld in 2020 ontdekt, waardoor het onder andere mogelijk was de wachtwoordbeveiliging van Windows te omzeilen.
De problemen zijn bij bedrijven reeds bekend. Toch geeft 82 procent van de ondervraagden aan dat ze niet over de middelen beschikken om beveiligingswerk te verrichten dat een grote impact heeft. Om welke zaken het dan precies gaat, deelt het rapport niet mee. Het volledige cybersecuritybudget wordt voor hen al opgeslokt door softwarebeveiliging, patching, hardware-upgrades en het oplossen van kwetsbaarheden.
Aangezien de softwaregigant een grote voorstander is van een veilige hybride werkomgeving, geeft het Windows 11 enkele functies mee om de daad bij het woord te voegen. Het besturingssysteem bezit een chip-naar-cloud beveiliging waardoor werknemers overal beveiligd zijn.
Naar eigen zeggen is het nieuwe besturingssysteem de veiligste Windows-uitgave tot nu toe. Het systeem bezit namelijk onder meer een ingebouwde, geavanceerde encryptie, databescherming, robuuste netwerk- en systeembeveiliging en intelligente beveiliging tegen evoluerende dreigingen.
Niet altijd ingeschakeld
Het is wel een kwestie je niet te laten vangen door het woord ‘ingebouwd’. Weston wijst er namelijk op dat alle beveiligingsopties niet altijd standaard zijn ingeschakeld: “De configuratie is moeilijk en er zijn prestatieproblemen.” Bedrijven die computers kopen waarop Windows 11 staat geïnstalleerd, moeten zich geen zorgen maken. Alleen in de kleine groep gelukkigen die kan upgraden van Windows 10 naar Windows 11 moeten beheerders eraan denken de beveiliging handmatig in te stellen.
Om het beste uit de beveiligingsopties te halen, raadt Microsoft een 11e generatie Intel Core-processor aan, of alternatief als een AMD Ryzen 3000 of Qualcomm 8C aanbevolen. Microsoft stelt verder 64 GB SSD-opslag en 8 GB RAM voor.
De vereisten om het besturingssysteem te kunnen draaien, worden met andere woorden dus nog wat bijgeschaafd. Windows 11 vraagt namelijk om 64 GB opslag, maar geen SSD en de helft van de RAM-capaciteit.
Heb je het nieuwe besturingssysteem te pakken en kan je laptop ook nog eens de beveiligingsvereisten aan, dan kan je de functies zelf instellen. Ga hiervoor naar Instellingen > Apparaatbeveiliging > Kernisolatie en Beveiligingsprocessor. Hetzelfde proces kan gevolgd worden in Windows 10. Dat beschikt namelijk ook al over heel wat veiligheidsinstrumenten, die je ook handmatig moet inschakelen. Houdt in dat geval wel rekening met een impact op de prestaties.
De beveiligingsopties die je via deze weg kan aanzetten, zijn:
- Trusted Platform Module (TPM): biedt beveiligingsvoordelen voor systeemhardware, platformbeheerders en -gebruikers.
- Windows Defender System Guard: biedt bescherming voor kritieke bronnen zoals Windows Verificatie, Windows Hello, single-sign-on en TPM.
- Bescherming van code-integriteit gebaseerd op virtualisatie: verbetert het dreigingsmodel en biedt sterkere bescherming tegen malware die de Windows Kernel probeert uit te buiten. Code van applicaties wordt van elkaar afgezonderd, wat de capaciteiten van malware aantast.
- Kernel Direct Memory Access Protection: beschermt poorten en plug-intoestellen zoals Thunderbolt en USB4.
- Bescherming van de kernonderdelen: speelt in op geavanceerde aanvallen en biedt meer zekerheid bij gegevensverwerking in enkele belangrijke industrieën zoals de medische zorg.
Zero trust
Microsoft ziet zero trust zelf als een principe dat soelaas kan brengen in de hybride werkwereld. Volgens het bedrijf is het principe nodig om in te kunnen spelen op ‘de complexe moderne omgeving de hybride werkplek omarmt, en mensen, apparaten en gegevens beschermt, op elke locatie’.
Bedrijven die werknemers willen beschermen door het zero trust-principe, zullen wat dieper in hun buidel moeten tasten. Endpoints worden met Windows 11 namelijk alleen maar beschermd in het Entreprise E5-pakket. Dat is het meest uitgebreide pakket dat een onderneming kan kiezen en biedt extra bescherming bovenop het Pro-pakket.
Meer functies in de toekomst
Volgens Weston zijn er in het Insider-programma heel wat gebruikers die de beveiligingsopties perfect kunnen aanzetten doordat zij over het geschikte materiaal beschikken. Dat gegeven biedt ook een toekomstperspectief aan virtualisatie. “Virtualisatie kan voor problemen zorgen op verouderde hardware. De hardware waar we vandaag over beschikken maakt het mogelijk om over een geweldige ervaring te beschikken.”
Het principe wordt al gebruikt in de Android-omgeving, die momenteel ondersteund wordt in de recentste bètaversie van Windows 11 in de VS. Virtualisatie maakt het ook mogelijk om applicaties beter te beschermen door die te laten draaien in individuele containers. Die functie kondigde Microsoft aan voor Windows 10X, maar is nog niet overgedragen aan Windows 11.
Een andere grote opportuniteit ziet Weston voor Windows Sandbox, een lichte desktop-omgeving gemaakt om applicaties veilig te laten draaien in isolatie: “Er is een enorme betrokkenheid bij Sandbox en dat geeft ons de energie om in de toekomst soortgelijke dingen te doen. Uiteraard wordt het met Windows 11 nog aantrekkelijker om in die ruimte te gaan innoveren, vanwege de goede hardwarerichtlijnen en prestaties van virtualisatie.”
Computers met Pluton
Onder de beveiligingsopties van Windows 11 is een TMP te vinden. Dat is een computerchip die onderdelen veilig kan opslaan om de authenticiteit van je computer of laptop te controleren.
In de toekomst brengt Microsoft daar zelf hardware voor uit onder de naam Pluton. Het is aan fabrikanten van chips om de opvolger van de TPM-module in hun eigen designs te incorporeren. Microsoft stapt over op een eigen product omdat de bestaande alternatieven niet in alle gevallen ontworpen zijn met het idee het toestel te beschermen. Weston vertelt hoe Pluton de cyberbeveiliging in de toekomst zal veranderen: “Pluton is in staat verschillende zaken aan te pakken, maar in hoofdzaak maakt het TMP’s heel toegankelijk en erg betrouwbaar.”
Windows 11 heeft dus heel wat te bieden om de veiligheid van organisaties op te krikken tot op het hardwareniveau. Het is alleen van belang op de hoogte te zijn en de beveiligingsopties ook werkelijk in te schakelen. Wat Microsoft in de toekomst zal uitbrengen, ziet er veelbelovend uit. Het blijft alleen de vraag in welke mate de bijkomende beveiliging toegankelijk is en wanneer alles beschikbaar wordt. In ieder geval is het duidelijk dat bedrijven klaar zijn om te investeren in de beveiliging van hun hardware.