Wat brengt Windows 11 precies op tafel?

Onlangs zei mijn vader – mijn klokkenluider voor technologie – terloops dat hij online had gelezen dat Windows 11 niet mocht worden gebruikt en dat het besturingssysteem niet werd overgenomen.

Papa had een punt. Hij is nu meer een Apple-gebruiker – ik heb hem op mijn telefoonabonnement om zijn technische behoeften te ondersteunen, hij gebruikt een iPhone en heeft een iPad. Omdat zijn behoeften zijn veranderd, is zijn afhankelijkheid van Windows-apparaten afgenomen. In feite hebben zijn huidige Windows-behoeften betrekking op applicaties die niet op het Apple-platform staan. (En omdat hij een zelfstandige gebruiker is en geen domeingebruiker, zullen veel van de ontwikkelingen in Windows 11 die te maken hebben met authenticatie niet voor hem beschikbaar zijn.)

“Computerworld” merkte onlangs op dat de acceptatie van Windows 11 langzaam ging, en dat het op slechts 1,44% van alle systemen draaide. Dit is vergelijkbaar met wat ik thuis en op mijn kantoor zie. Thuis heb ik één computer, een Surface Pro 7, waarop Windows 11 kan draaien. Op kantoor heb ik maar twee computers die Windows 11 ondersteunen.

Veel gebruikers eigenlijk kan niet voer Windows 11 uit. Als jij dat bent, en je bent geïnteresseerd in waarom je Windows 11 niet kunt gebruiken, kun je de Bytejeans-tool downloaden om erachter te komen waarom precies. Deze laptop die ik gebruik, heeft bijvoorbeeld een Trusted Platform Module die Windows 11 ondersteunt. Maar hij heeft geen Virtualization Based Security (VBS)-ondersteuning in de processor.

Windows 11 zorgt ervoor dat VBS standaard is ingeschakeld om Hypervisor-Enforced Code Integrity te ondersteunen. Hoewel je zou kunnen stellen dat deze bescherming in een standalone werkstation misschien niet nodig is, wil je er in de onderneming zeker van zijn dat deze is ingeschakeld. (Dit is geen nieuwe technologie, maar het mandaat is nieuw.)

VBS is nodig voor Windows Defender Credential Guard, dat domeinreferenties in een netwerk beschermt. Zoals opgemerkt: “Credential Guard is een op virtualisatie gebaseerde isolatietechnologie voor LSASS die voorkomt dat aanvallen inloggegevens stelen die kunnen worden gebruikt om de hash-aanvallen door te geven. …Na een systeem te hebben gecompromitteerd, proberen aanvallers vaak opgeslagen inloggegevens te extraheren voor verdere laterale verplaatsing door het netwerk. Een belangrijk doelwit is het LSASS-proces, dat NTLM- en Kerberos-referenties opslaat. Credential Guard voorkomt dat aanvallers in LSASS opgeslagen inloggegevens dumpen door LSASS uit te voeren in een gevirtualiseerde container waartoe zelfs een gebruiker met SYSTEEM-privileges geen toegang heeft. …Het systeem creëert vervolgens een proxyproces genaamd LSAIso (LSA Geïsoleerd) voor communicatie met het gevirtualiseerde LSASS-proces.”

Hoewel dit al werkt in Windows 10, bouwt Windows 11 voort op deze bescherming. Klinkt goed voor bedrijven, toch? Maar er is één probleem: veel gebruikers hebben niet de juiste licentie voor de meeste beveiligingsvoorzieningen van Windows 11. Een goed voorbeeld is Windows Defender Credential Guard – u hebt een Enterprise-licentie nodig om het te gebruiken. Dus hoewel het veel bescherming biedt voor uw gebruikers- of inloggeheimen, is het niet voor veel gebruikers beschikbaar. In toekomstige versies van Windows 11 wordt Credential Guard standaard ingeschakeld, maar nogmaals, alleen voor zakelijke klanten.

Een andere nieuwe technologie waar ik enthousiast over ben, is Smart Application Control, hoewel ik me er wat zorgen over maak. Slimme app-controle, zoals Microsoft het uitlegt, “voorkomt dat gebruikers schadelijke applicaties uitvoeren op Windows-apparaten die standaard niet-vertrouwde of niet-ondertekende applicaties blokkeren. Smart App Control gaat verder dan eerdere ingebouwde browserbeveiligingen en is direct verweven met de kern van het besturingssysteem op procesniveau. Door code-ondertekening samen met AI te gebruiken, kunnen met onze nieuwe Smart App Control alleen processen worden uitgevoerd waarvan wordt voorspeld dat ze veilig zijn op basis van codecertificaten of een AI-model voor applicatievertrouwen binnen de Microsoft-cloud.

“Modelinferentie vindt 24 uur per dag plaats op basis van de nieuwste bedreigingsinformatie die biljoenen signalen oplevert. Wanneer een nieuwe toepassing op Windows 11 wordt uitgevoerd, worden de basisondertekening en kernfuncties vergeleken met dit model, zodat alleen bekende veilige toepassingen mogen worden uitgevoerd. Dit betekent dat Windows 11-gebruikers erop kunnen vertrouwen dat ze alleen veilige en betrouwbare applicaties gebruiken op hun nieuwe Windows-apparaten. Smart App Control wordt geleverd op nieuwe apparaten waarop Windows 11 is geïnstalleerd. Apparaten met eerdere versies van Windows 11 moeten worden gereset en een schone installatie van Windows 11 hebben om van deze functie te kunnen profiteren.”

Ik installeer nog regelmatig software die niet ondertekend is. Dus ik weet van tevoren dat Smart Application Control niet voor mij zal werken, zowel op kantoor als thuis, omdat ik geen software kan uitvoeren met een “witte lijst”-benadering. Ik weet ook niet welke vergunningen nodig zijn. Zal het voor iedereen beschikbaar zijn? Zal het een Enterprise-only functie zijn?

Kortom: Windows 11 is geweldig voor ondernemingen als u over de juiste licenties beschikt om van deze functies te profiteren. Maar ik ben er niet van overtuigd dat het je thuis een groot voordeel geeft. Als je bang bent dat je oudere hardware Windows 11 niet kan draaien, doe dat dan ook niet. Windows 11 is slechts de volgende versie van Windows en biedt niet veel beveiligingsvoordelen voor een typische gebruiker. Daarom zal mijn vader voorlopig Windows 10 blijven gebruiken en zich geen zorgen maken over Windows 11.

Copyright © 2022 IDG Communications, Inc.

Leave a Comment