Microsoft brengt een aantal grote verbeteringen aan in de beveiliging van Windows 11 met nieuwe functies en hardware, waaronder Smart App Control.
Microsoft heeft een reeks beveiligingsverbeteringen aangekondigd die naar Windows 11 komen om de zorgen over hybride werken weg te nemen. De functies zijn ontworpen om bedrijven en gebruikers te helpen meer vertrouwen te hebben in de software die ze gebruiken, ongeacht of ze dat doen dat is het besturingssysteem zelf of de apps ervan, en dat is vooral belangrijk in een tijd waarin veel gebruikers buitenshuis werken kantoor. Veel van deze dingen zijn niet helemaal nieuw, maar ze komen binnenkort of zijn onlangs verkrijgbaar.
Microsoft Pluton
De Microsoft Pluton Security Processor is een nieuw stukje hardware dat is gebundeld in nieuwe apparaten en rechtstreeks kan worden geïntegreerd met de CPU en Windows 11. In feite is het de enige beveiligingsprocessor die firmware rechtstreeks via Windows Update kan updaten het is gemakkelijker om nieuwe functies en mogelijkheden toe te voegen zonder ingewikkelde handmatige updates in een onderneming omgeving. Updates kunnen net als elke andere update voor Windows 11 worden beheerd. Deze nauwe integratie betekent ook dat Microsoft Pluton is ontworpen om goed samen te werken met functies zoals BitLocker en Windows Hello in Windows 11. De firmware voor Pluton is ontwikkeld door dezelfde mensen in het Windows-team, dus alles werkt samen.
De integratie met de CPU beschermt apparaten ook tegen fysieke aanvallen, dus dit is een uitgebreide beveiligingsoplossing voor bedrijven en vereenvoudigt de configuratie.
Door hypervisor beschermde code-integriteit
Vanaf de volgende release van Windows 11 schakelt Microsoft Hypervisor-Protected Code Integrity (HVCI) in op meer Windows 11-apparaten. Deze functie is ontworpen om gebruikers te beschermen tegen kwetsbaarheden in stuurprogramma's, die een belangrijke bron van malware-aanvallen zijn geweest. HVCI voorkomt dat malware in stuurprogrammapakketten wordt geladen en verifieert dat geïnstalleerde stuurprogramma's betrouwbaar zijn. Het maakt gebruik van gegevens uit het Microsoft Vulnerable and Malicious Driver Reporting Center om automatisch stuurprogramma's te blokkeren die dat wel doen bekend als kwetsbaar, en het voorkomt dat kwetsbare stuurprogramma's uit de Windows-kernel komen, zodat ze daar nooit de kans voor krijgen uitgebuit.
Slimme app-bediening
Met Smart App Control, voor het eerst opgemerkt in Windows 11 build 22567, kan Windows automatisch voorkomen dat potentieel gevaarlijke apps worden uitgevoerd. Tot op zekere hoogte bestaat dat natuurlijk al, maar deze keer is er meer aan de hand. SAC maakt gebruik van codeondertekening en kunstmatige intelligentie om potentieel kwaadaardig gedrag van apps te voorspellen voordat wordt besloten of die apps kunnen worden uitgevoerd. Het maakt gebruik van een voortdurend bijgewerkt inferentiemodel om de veiligheid van apps te bepalen met behulp van de nieuwste bedreigingsinformatie, samen met codecertificaten, om ervoor te zorgen dat apps veilig zijn voordat ze worden uitgevoerd. Op deze manier hoeven gebruikers zich geen zorgen te maken over het uitvoeren van potentieel gevaarlijke apps zonder hun medeweten.
Smart App Control zal beschikbaar zijn op nieuwe apparaten die worden geleverd met de volgende versie van Windows 11. Als u een upgrade uitvoert vanaf de huidige versie, moet u uw pc opnieuw instellen of schone installatie Windows 11 een ISO gebruiken om het te zien.
Beveiliging van legitimatie en account
Microsoft brengt ook enkele verbeteringen aan in de algehele accountbeveiliging in Windows 11. Ten eerste wordt phishing-detectie rechtstreeks in Windows 11 geïntegreerd met de SmartScreen-functie van Microsoft Defender. Microsoft zegt dat het meer dan 25,6 miljard brute force-aanvallen op Aure Active Directory heeft geblokkeerd en 35,7 miljard phishing heeft onderschept e-mails met Microsoft Defender voor Office 365 - en dat is pas het afgelopen jaar - en nu zal die bescherming beschikbaar zijn op het besturingssysteem niveau.
Microsoft schakelt Credential Guard ook standaard in op Windows 11 Enterprise. Deze functie helpt apparaten te beschermen tegen diefstal van inloggegevens met behulp van technieken zoals pass-the-hash, en dat kan ook voorkom ook dat malware toegang krijgt tot systeemgeheimen, zelfs als het proces door de beheerder wordt uitgevoerd privileges.
Ten slotte brengt Microsoft verbeteringen aan in de Local Security Authority (LSA) om aanvallen te bestrijden die deze functie gebruiken om gebruikersgegevens te stelen. Het bedrijf zorgt er met name voor dat LSA alleen vertrouwde en ondertekende code kan laden, zodat kwaadaardige programma's niet in het proces kunnen binnensluipen en inloggegevens kunnen stelen die via LSA passeren. Deze extra bescherming zal in de toekomst standaard worden ingeschakeld voor nieuwe Windows 11-apparaten die bij het bedrijf zijn aangesloten.
Versleuteling van persoonlijke gegevens
De naam van deze functie spreekt voor zich. In wezen zorgt de versleuteling van persoonlijke gegevens ervoor dat gebruikersgegevens worden beschermd door versleuteling die alleen wordt opgeheven als de betreffende gebruiker is aangemeld. Dit is een platformmogelijkheid die apps en IT-afdelingen kunnen gebruiken om ervoor te zorgen dat gegevens worden beschermd in het geval dat een apparaat wordt gestolen. Encryptie is gekoppeld aan Windows Hello for Business, zodat gebruikers zich zonder wachtwoord moeten aanmelden inloggegevens om toegang te krijgen tot de gegevens, waardoor het moeilijker wordt voor iemand met fysieke toegang tot het apparaat om te stelen genoemde gegevens.
Configuratievergrendeling
Ten slotte is er Config Lock, een functie die meer gericht is op IT-afdelingen binnen een organisatie, en die feitelijk al beschikbaar is. Volgens Microsoft is een veelvoorkomend probleem voor bedrijven dat ze beperkte controle hebben over een apparaat zodra het door een werknemer wordt gebruikt. Met Config Lock kunnen IT-beheerders MDM-beleid gebruiken om de registersleutels op elk apparaat te controleren en als er wijzigingen worden aangebracht, Config Lock zet ze automatisch "binnen enkele seconden" terug en zorgt er voortdurend voor dat het apparaat aan de gewenste beveiliging voldoet beleid.
Veel van deze functies zijn, zoals je zou verwachten, gericht op bedrijven, maar ze zijn absoluut belangrijk. Nu hybride werken voor veel bedrijven de standaard wordt, zijn deze stappen essentieel om gebruikers te behouden en bedrijven veilig, vooral omdat cyberaanvallen de afgelopen paar jaar ook zijn toegenomen jaren.
Microsoft heeft ook nieuwe Windows 11-functies aangekondigd inclusief een bestandsverkenner met tabbladen Vandaag. Er zijn ook nieuwe functies voor Windows 365, inclusief een offline modus.