Testversie Windows 11 introduceert extra beveiliging voor ingelogde admins
Microsoft heeft een testversie van Windows 11 gelanceerd die extra beveiliging voor ingelogde admins introduceert. Administrator Protection werd eind vorig jaar door het techbedrijf aangekondigd en zorgt ervoor dat admin-gebruikers met standaard gebruikersrechten werken. Wanneer er een systeemaanpassing is vereist of er een applicatie moet worden geïnstalleerd zal de gebruiker dit via een aparte prompt en Windows Hello moeten autoriseren.
Windows maakt dan een tijdelijk, geïsoleerd admintoken aan om de taak uit te voeren. Dit token wordt na het uitvoeren van de taak meteen verwijderd, zodat de adminrechten niet blijven en de ingelogde admin gewoon weer standaard gebruikersrechten krijgt. Bij de aankondiging afgelopen jaar stelde Microsoft dat Administrator Protection ervoor zorgt dat gebruikers de controle over het systeem blijven houden en dat aanvallers niet automatisch, directe toegang tot de kernel of belangrijke systeembeveiliging hebben.
"Standaard gebruikersrechten bieden betere security. Gebruikerstoegang tot belangrijke systeemmiddelen is standaard geblokkeerd en het voorkomt dat malware of apps stilletjes de configuratie aanpassen. Standaardrechten zijn echter frustrerend voor gebruikers omdat ze bepaalde gewone taken, zoals het aanpassen van de tijd of installeren van applicaties niet kunnen doen, omdat een standaard gebruiker in veel gevallen geen admin-inloggegevens heeft", aldus Microsoft.
Het standaard draaien met admin-rechten neemt weer allerlei risico's met zich mee als het systeem met malware besmet raakt, omdat de malware dan directe toegang tot belangrijke systeembronnen heeft, voegt Microsoft toe. Administrator Protection zou ervoor moeten zorgen dat admin-rechten beter zijn beschermd. De feature staat standaard uitgeschakeld en is beschikbaar voor zowel zakelijke omgevingen als thuisgebruikers. De feature is nu te proberen in Windows 11 Insider Preview Build 27774.
Ik denk dat Microsoft eens goed door hun systeem heen moet lopen om te kijken wat taken zijn die een normale user gewoon zou moeten kunnen doen i.p.v. admin rechten daarvoor nodig te hebben.
Ik denk dat Microsoft eens goed door hun systeem heen moet lopen om te kijken wat taken zijn die een normale user gewoon zou moeten kunnen doen i.p.v. admin rechten daarvoor nodig te hebben.
Maar wat wel en niet gewenst is aan systeemaanpassingen door een gewone gebruiker verschilt aanzienlijk tussen privé- en bedrijfssystemen en het is niet makkelijk om dat op een of andere manier te laten configureren. Zodra Microsoft het mogelijk maakt om beperkingen te configureren gaan aanvallers kijken hoe dit configuratiesysteem misbruikt kan worden.
De kinderen vonden het wel spannend om van alles te veranderen. Ook de systeemtijd.
Dat heb je liever niet.
Ik denk dat Microsoft eens goed door hun systeem heen moet lopen om te kijken wat taken zijn die een normale user gewoon zou moeten kunnen doen i.p.v. admin rechten daarvoor nodig te hebben.
Veel beveiligingsprotocollen en autorisatiesystemen (zoals bijvoorbeeld SSL certificaten) hebben een accurate tijd nodig voor hun werking. Als iedereen de tijd van een apparaat zomaar kan aanpassen, dan is dit voor kwaadwillenden ook makkelijker.
Het wordt tijd zeg. :-)
Ik denk dat Microsoft eens goed door hun systeem heen moet lopen om te kijken wat taken zijn die een normale user gewoon zou moeten kunnen doen i.p.v. admin rechten daarvoor nodig te hebben.
Kerberos is ook zeer tijds gevoelig.
Ik denk dat Microsoft hier aanzien meer kennis van heeft, dan deze anoniem die zomaar iets roept.
Ik denk dat Microsoft eens goed door hun systeem heen moet lopen om te kijken wat taken zijn die een normale user gewoon zou moeten kunnen doen i.p.v. admin rechten daarvoor nodig te hebben.
Veel beveiligingsprotocollen en autorisatiesystemen (zoals bijvoorbeeld SSL certificaten) hebben een accurate tijd nodig voor hun werking. Als iedereen de tijd van een apparaat zomaar kan aanpassen, dan is dit voor kwaadwillenden ook makkelijker.
Dat exact. Als je het belang niet ziet van een juiste tijd voor beveiliging van zo ongeveer alles; wees blij dat dat extra wordt afgeschermd, je ziet dan waarschijnlijk meer dingen over het hoofd . . .
Het wordt tijd zeg. :-)
En daarna staat er nog steeds ergens een (NSA) achterdeur open die scripkiddies en hackers (ook) kunnen gebruiken.
De voordeur krijgt een extra kettinkje, maar veel van de "ramen" zitten nog steeds niet (goed) op slot.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?