Als het gaat om gebruiksgemak blijkt Windows 11 een schot in de roos van Microsoft. Maar anno 2022 moet het opboksen tegen alle bedreigingen op het gebied van IT Security. Hiervoor gaat Windows 11 de samenwerking aan met jouw hardware. Wat levert het je op en wat heb je nodig? We zochten het uit met onze Solution Partner Acronis.
Windows 11 zet meer dan ooit in op het veilig werken en communiceren via het besturingssysteem. Slaag het daarin? Het aantal op die vraag is niet zomaar gegeven. Deze geven we je alvast wel: op voorwaarde dat Windows 11 deskundig is geïnstalleerd op de juiste omgeving en met de juiste specificaties, heb je met dit nieuwe besturingssysteem een goede basis voor IT Security. Dat is gemakkelijk gezegd, maar moeilijker gerealiseerd. Neem de volgende adviezen mee, dan is Windows 11 een zekere factor in de beveiliging van je bedrijfsnetwerk.
Eigentijdse software, eigentijdse hardware
Windows 11 kan van zichzelf veilig zijn, als het op een onveilige omgeving wordt aangebracht, ben je nog nergens. Het is hetzelfde als nieuwe batterijen kopen voor een kapotte zaklamp. Je bent meer geld kwijt, maar je bent niet geholpen. En Windows 11 heeft op het gebied van hardware best wat eisen om de IT Security op orde te houden. Zo heb je een nieuwe CPU nodig met virtualisatie-extensie, Secure Boot-capable UEFI firmware en een TPM 2.0 security chip. Dat is een hele waslijst aan technische termen, met met één belangrijke boodschap: alleen marktconforme en bijgewerkte software gaat je niet helpen, zonder de veilige hardware.
In het middelpunt: de CPU voor Windows 11
De belangrijkste eisen voor Windows 11 om veilig te functioneren worden gesteld aan de CPU. Windows vraagt daarvoor minimaal een advanced 64-bit processor met 1 Ghz snelheid en minimaal twee extra cores. Goede voorbeelden vandaag de dag zijn een Intel processor van de 8ste generatie en AMD Zen 2 of een Qualcomm 7 or 8 series.
Met deze hardware kun je probleemloos beveiligd werken in the cloud, zonder hick-ups of showstoppers. Maar bovenal; het reserveert een deel van het geheugen, los van het besturingssysteem. Wordt je aangevallen, dan verklein je de kans dat kwaadwillenden direct los kunnen in je besturingssysteem. In de IT wordt dit Virtualization-based Security genoemd (VBS). In samenwerking met Windows 11 kun je zo rekenen op de volgende maatregelen voor extra IT Security:
Kernel Data Protection (KDP) Met VBS wordt een gedeelte van de kernel in jouw pc aangemerkt als read-only. De kernel is een essentieel onderdeel van jouw device en beheert applicaties en stuurt de dataverwerking aan op hardware-niveau. Voorbeelden zijn disk-management, taakverdeling en het geheugenmanagement. Nogal onmisbaar én essentieel om uit de vuurlinie te blijven, dus.
Application Guard gebruikt VBS om tijdelijke virtuele omgevingen aan te maken, zodat je belangrijke bestanden uit Office zonder risico kan gebruiken in online tools en op websites, en vice versa. In het geval dat je op een onbewaakt ogenblik niet-vertrouwde inhoud laadt in je systeem, kan de schade beperkt blijven.
Credential Guard is een besturingssysteem dat alle persoonsgebonden informatie beperkt tot systeemsoftware met de juiste rechten. Het voorkomt diefstal van deze gegevens en identiteitsfraude.
Tot slot zet Windows Hello Enhanced Sign-In Security VBS in voor bescherming en beperking van inloggegevens voor andere devices. Bijvoorbeeld om te voorkomen dat jouw vingerafdruk wordt gestolen voor misbruik door anderen.
Is dat het? Zeker niet, buiten VBS kun je rekenen op de volgende samenwerkingen tussen Windows 11 en jouw hardware:
TPM – Trusted Platform Module 2.0
Windows 11 vraagt daarnaast om hardware die werkt met Trusted Platform Module 2.0, dat verantwoordelijk is voor encryptie. Een veeleisende klus die flink wat capaciteit vraagt en daarnaast om een veilige afgezonderde omgeving. Verder vraagt het om United Extensible Formware Interface (UEFI) komt in de plaats van het aloude BIOS.
Het TPM start je device op en zet het besturingssysteem klaar voor je. TPM zorgt ervoor dat dit zo veilig mogelijk gebeurt en dat je uitsluitend geautoriseerde firmware en software gebruikt. Met niet-vertrouwde kopieën, afkomstig uit schimmige downloads is het anders vragen om problemen. Ook bij het opstarten.
In dit verband is het ook goed om de naam te noemen van Microsoft Pluton. Deze security processor komt exclusief van Microsoft, maar zal in de toekomst op allerlei plekken opduiken. Pluton zal bijvoorbeeld worden aangebracht op CPU's van Intel, AMD en Qualcomm. Hiermee is een groot bereik verzekerd. De security processor is ontworpen voor probleemloze werking met Microsoft-software en verzorgt de beveiliging tussen de hardware en Microsoft-software.
Met al deze hardware en Windows 11 ben je in het bezit van adequate Zero Trust beveiliging. Maar daarmee heb je nog niet de garantie dat kwaadwillenden toch niet binnenvallen in jouw systeem. Om indringing op het complete bedrijfsnetwerk te voorkomen, zijn meer maatregelen getroffen. Een daarvoor is de moeite waard van het noemen.
Hardware-enforced stack protection (HSP)
Hardware-enforced stack protection herkent en stopt aanvallen die gebruik maken van uitvoer van code. Code die wordt uitgevoerd in de geheugen stack -de lopende opdrachtenlijst- krijgt met HSP een groen of rood sein. Is de uitvoer anders dan verwacht? Dan is het heel goed mogelijk dat de code wordt gekaapt en gaat er een streep door de uitvoering ervan.
Tot slot zet Windows 11 Microsoft Azure Attestation in (MAA). Het platform voor probleemloos en veilig werken in the cloud gebruikt Azure Attestation om devices toestemming te geven Azure online te gebruiken.
De belangrijkste vraag: houden deze eigentijdse maatregelen kwaadwillenden in Windows 11 buiten de deur. Voor een gedeelte zeker. Voor de volle 100%? Wij moeten de eerst softwareproducent nog tegenkomen die dat beweert. Je kunt er wel in de buurt komen, onder deze voorwaarden:
- Breng je je besturingssysteem op niveau? Neem je hardware mee en laat het controleren door een IT-partner of je helemaal bij bent onder de motorkap
- Het gaat om hardware en software op je device. Maar je device zit op zijn beurt weer vast aan een (bedrijfs)netwerk. Misschien heb je hardware en software op orde gebracht. Maar hoe zit het met de IT Security van het gehele bedrijfsnetwerk? IT Security staat of valt met de draagkracht van de zwakste schakel.
- Windows 11 en de juiste hardware is slechts de uitgangspositie. Is de omgeving vandaag op orde? Dan is die morgen niet meer 100% beveiligd tegen alle spam, phishing en virussen dus nu nog niet bekend zijn, maar zojuist online zijn geslingerd. IT Security partners zoals Acronis houden online nauwgezet al deze nieuwe bedreigingen in de gaten.
- Gaten dichten moet soms ook met terugwerkende kracht. Zelfs in Windows 11! Dat komt omdat tijdens de ontwikkeling ervan beveiligingslekken uit Windows 10 soms 1 op 1 zijn overgenomen naar Windows 11. Je moet ze weten te vinden, om ze te dichten.
- Mocht het misgaan, dan zul je ook een oplossing moeten hebben voor bijvoorbeeld data backup. Daarnaast wil je niet dat maatregelen rond IT Security jouw bedrijfsnetwerk log en onwerkbaar maken. Ook hiervoor kun je bij Aumatics terecht. Wij combineren IT Security, bijvoorbeeld met workload-management van onze solution partner Acronis.