In oktober vorig jaar heeft Microsoft Windows 11 uitgebracht. Hiermee is Microsoft een nieuwe weg ingeslagen. Bij de introductie van Windows 10 was namelijk de verwachting dat er geen nieuwe operating systems meer werden uitgebracht. Windows 10 zou alleen nieuwe feature updates ontvangen via Windows Updates (for Business). Inmiddels weten we dat Microsoft het toch anders aanpakt en met Windows 11 voorziet in een nieuw operating system.
Waarom heeft Microsoft er uiteindelijk toch voor gekozen om Windows 11 uit te brengen? De belangrijkste reden hiervoor is de geavanceerde ondersteuning van security features op endpoints. Daarvoor heeft Microsoft de hardware eisen voor Windows 11 flink aangescherpt. Hierdoor wordt ondersteuning van nieuwe security features mogelijk. Zo is het bijvoorbeeld verplicht om een TPM-chip versie 2.0 in het device aanwezig te hebben. Dit is een chip in de computer om de beveiliging te verbeteren.
Nieuwe look & feel Windows 11
Wat vooral opvalt als je voor het eerst naar Windows 11 kijkt is dat de look and feel is veranderd. Een nieuw systeemvak, het startmenu zonder tiles, startmenu in het midden van de taakbalk (voor de fanatiekelingen, je kan deze weer op de oude plek laten verschijnen), geen Internet Explorer meer (we gebruikten toch al Edge), een vernieuwd instellingen menu en Snap Groups/Layouts (meerdere vensters rankschikken op het scherm).
Dit zijn veranderingen die we allemaal met ons blote oog kunnen zien. Als we meer kijken met de blik van een IT-professional zijn er met Windows 11 nog meer veranderingen gekomen. Zo is bijvoorbeeld de Windows Update sequence aangepast. Windows 11 voorziet in jaarlijkse updates via het General Availibility Channel van Windows Updates for Business. Inmiddels is dit overigens ook geïntroduceerd voor Windows 10. Ook is in Windows 11 de Windows Autopilot gebruikerservaring veranderd en gemoderniseerd. Deze gebruikerservaring, het eerste dat een gebruiker ziet bij opstarten, is flink verbeterd. Hierbij heeft Microsoft de Windows look & feel toegepast in de ervaring. Dit is voor gebruikers veel herkenbaarder en werkt daardoor eenvoudiger.
Verbeterde security features
Afgelopen september heeft Microsoft de eerste jaarlijkse feature update beschikbaar gesteld voor Windows 11 (22H2). Deze upgrade brengt nieuwe features met zich mee. De focus ligt daarbij grotendeels op het verbeteren van endpoint security. Microsoft geeft aan dat aanvallen van hackers op device niveau een steeds grotere bedreiging vormen. Malware, het stelen van inloggegevens en phishing aanvallen vormen deze bedreiging. Maar welke nieuwe security features zijn dit?
Hieronder een overzicht van belangrijke features:
- Enhanced Phishing Detection is een security feature om phishing bij gebruikers te voorkomen. Bij phishing wordt een gebruiker door middel van valse emails naar een onveilige website gelokt om daar inloggegevens in te voeren. Op deze manier kunnen criminelen inloggegevens achterhalen. Enhanced phishing detection moet dit voorkomen door een waarschuwing af te geven wanneer gebruikers inloggegeven invoeren in een onveilige app of website. Het is een onderdeel van Microsoft Defender Smartscreen.
- Smart App Control zorgt ervoor dat gebruikers geen onveilige applicaties kunnen starten. Dit betekent dat niet vertrouwde of niet gesigneerde apps standaard door Windows geblokkeerd worden. Dit gebeurt op procesniveau en is daarom echt ingebouwd in het operating system. Een app wordt onderzocht op veiligheid door Microsoft op basis van artificial Intelligence. Smart App Control heeft wel een nadeel bij implementatie. Windows 11 moet hiervoor namelijk eerst opnieuw geïnstalleerd worden. Het kan alleen worden gebruikt na een schone installatie en start in evaluation mode. Op basis van deze evaluatie wordt Smart App Control aan- of uitgezet.
- De Local Security Authority (LSA) is een process dat ervoor zorgt dat gebruikers geauthenticeerd en geverifieerd worden. Onder andere passwordgegevens en single sign-on gevevens worden door de LSA verwerkt. Op Windows 11 endpoints die verbonden zijn met een bedrijf wordt de LSA standaard aangezet.
- Credential Guard voorkomt het stelen van inloggegevens door middel van zogenaamde pass-the-hash of pass-the-ticket hacking technieken. Dit doet Windows door middel van een virtualisatielaag op hardware niveau. Hierdoor kunnen belangrijke gegevens niet achterhaald worden. We kennen Credential Guard al uit eerdere Windows versies. Echter wordt de feature voor Windows 11 Enterprise standaard aangezet.
- Op ieder Windows device wordt gebruik gemaakt van drivers om de hardware aan te sturen. Windows Defender Application Control en de Microsoft vulnerable driver blocklist zorgen ervoor dat bekende kwetsbare drivers worden beschermd tegen ransomware aanvallen. De blocklist wordt geüpdate bij iedere nieuwe feature update van Windows. Op devices met Hypervisor-Protected Code Integrity (HVCI) enabled is de vulnerable driver blocklist standaard beschikbaar. Dit is een lijst van Microsoft met bekende kwetsbare drivers en wordt gebruikt om het installeren van deze drivers te voorkomen. Overigens gaat Microsoft HVCI standaard aanbieden op steeds meer devices in de (nabije) toekomst.
- Intune zorgt door middel van Mobile Device Management polices voor de configuratie van Windows. De configuratie in Windows wordt uiteindelijk vormgegeven in het Windows register met registerkeys. Door middel van Config Lock wordt voorkomen dat de configuratie, gepushed op door Intune, lokaal op het device kan worden aangepast door het aanpassen van registerkeys. Als Config Lock een verandering constateert wordt deze verandering vrijwel onmiddellijk weer teruggezet. Config Lock werkt alleen op zogenaamde Secured-core PC’s.
Microsoft timmert dus met Windows 11 flink aan de weg. Het is niet zomaar een nieuwe update van Windows 10, maar een echte must om gebruik te kunnen maken van de nieuwste security features die Microsoft te bieden heeft.
Meer weten over Windows 11?
Wil je als organisatie ook overstappen naar Windows 11? InSpark biedt hiervoor het Windows 11 readiness assessment. Dit assessment bekijkt en valideert in hoeverre de huidige werkplek en de beheeromgeving klaar is voor Windows 11. Dit biedt de mogelijkheid om een goed beeld te krijgen van de huidige omgeving en in kaart te brengen waar momenteel de pijnpunten liggen om naar Windows 11 door te migreren.