Microsoft introduceert een extra beveiligingslaag voor beheerdersaccounts in Windows 11 om misbruik van rechten te beperken en malware tegen te houden.
Microsoft werkt aan een nieuwe beveiligingsfunctie voor Windows 11 onder de naam Administrator Protection, kondigt het aan in een blog. Deze functie moet gebruikers met beheerdersrechten beter beschermen tegen ongewenste systeemwijzigingen en aanvallen met malware. De functie is momenteel beschikbaar voor testers in het Windows Insider-programma.
Extra verificatie
De extra beveiliging voor beheerders voert het principe van least privilege strikter door. Gebruikers krijgen standaard geen blijvende beheerdersrechten meer. Wanneer zij toch een handeling uitvoeren die zulke rechten vereist, vraagt Windows om een extra verificatie via Hello. Dit geldt voor acties zoals het installeren van software, het aanpassen van systeemtijd of het wijzigen van het register.
Zodra een gebruiker een dergelijke handeling goedkeurt, maakt Windows een tijdelijke en geïsoleerde admin-token aan via een verborgen systeemaccount. Na afloop van de taak wordt deze automatisch vernietigd. Deze aanpak moet voorkomen dat malware zich ongemerkt verhoogde rechten toe-eigent en systeeminstellingen wijzigt zonder medeweten van de gebruiker.
Administrator Protection werkt volledig gescheiden van standaard accountcontroles, die eerder dienen als aanvullende beveiliging. Microsoft benadrukt dat deze nieuwe laag een aparte beveiligingsgrens vormt met een eigen architectuur.
Beheer en uitrol
IT-beheerders kunnen Administrator Protection activeren via lokale instellingen, groepsbeleid of mobiele beheertools zoals Microsoft Intune. In groepsbeleid kan de functie worden geactiveerd via het beleid Admin Approval Mode with Administrator protection. Ook is het mogelijk het gedrag van de prompt aan te passen, bijvoorbeeld of gebruikers een wachtwoord moeten invoeren of enkel toestemming hoeven te geven.
Voor grootschalige uitrol binnen organisaties biedt Intune ondersteuning via de instellingen-catalogus. Na het inschakelen is een herstart van het toestel vereist.Volgens Microsoft is het doel om de functie binnenkort standaard in Windows 11 te activeren.
De techgigant roept organisaties op om de functie alvast te testen en feedback te geven. Met deze maatregel wil Microsoft het aantal incidenten waarbij kwaadwillenden misbruik maken van beheerdersrechten terugdringen. Dagelijks zouden naar schatting 39.000 gevallen van token-diefstal plaatsvinden.
Microsoft is de beveiliging van Windows grondig op de schop aan het gooien. Andere maatregelen die het plant te nemen, is het buitenschoppen van externe software uit de Windows-kernel en een ‘snelle herstelmodus’. Het Crowdstrike-debacle van een jaar geleden is nog niet vergeten.