Beveiligingsmogelijkheden voor Windows 10 in zakelijke omgevingen

Voor de meeste bedrijven zal Microsoft Windows het besturingssysteem zijn dat wordt gebruikt. Zoals bekend is Windows 10 ‘Anniversary Update’ de meest recente versie van het OS. Een vraag die veel IT-managers zich zullen stellen is of het nodig is om te migreren naar deze nieuwste versie, bijvoorbeeld vanaf Windows 7. Een dergelijke migratie brengt namelijk nogal wat uitdagingen met zich mee, op allerlei vlakken. Bij QNH Consulting heeft men hier een blog over geschreven, waarbij men uitsluitend heeft gekeken naar de gevolgen van de nieuwe beveiligingsmogelijkheden in Windows 10.

In wat volgt gaan we achtereenvolgens in op Virtualization Based Security (VBS), Credential Guard, Device Guard, Windows Information Protection en Device Health Attestation.

Virtualization Based Security (VBS)

Windows 10 komt net als eerdere versies van het besturingssysteem met een eigen virtualisatiefunctionaliteit. Virtualization Based Security maakt hier gebruik van. In het kort zorgt VBS ervoor dat er een scheiding wordt aangebracht tussen de Windows- en de Security Kernel laag. Het doel hiervan is om de Security Kernel te beschermen tegen malware die in Windows aanwezig is. Hou er echter rekening mee dat VBS gebruikmaakt van de virtualisatietechnologie in de processor. Dit houdt in dat andere hypervisors zoals VMware Workstation of Oracle VirtualBox niet gebruikt kunnen worden.

Credential Guard

In het verlengde van VBS beschermt Credential Guard tegen exploits (Pass-theHash en Pass-the-Ticket). Dit doet het door de wachtwoord-hashes en tickets te bewaren in de laag die door VBS wordt beschermd. Het is een vrij rigoureus oplossing die voor veel toepassingen uitstekend geschikt is, maar heeft ook enkele zaken die je in het achterhoofd moet houden. Zo wordt single sign-on (SSO) bij sommige authenticatieprotocollen niet ondersteund. Sterker nog, sommige protocollen worden helemaal niet ondersteund, wat als gevolg kan hebben dat sommig applicaties niet meer functioneren.

Device Guard (Code Integrity)

VBS zien we wederom terug bij Device Guard. Hiermee is het mogelijk om een Windows 10 client alleen bruikbaar te maken in combinatie met gesigneerde drivers en applicaties (Code Integrity policies). Zijn die niet aanwezig, dan is de client niet bruikbaar. Het volledig doorvoeren van deze policies neemt veel tijd in beslag. Het is dus zaak om dit goed af te zetten tegen de voordelen die het biedt.

Windows Information Protection

Met Windows Information Protection (WIP) is het mogelijk om niet alle applicaties toegang te geven tot alle bronnen. Denk hierbij bijvoorbeeld aan netwerkshares. WIP werkt samen met Applocker, dat onder andere de toegang tot applicaties in goede banen leidt. Alleen vooraf goedgekeurde applicaties kunnen toegang krijgen tot bepaalde data. WIP moet volgens Microsoft samen met Bitlocker (voor het encrypten van harde schijven), Azure Information Protection en Office 365 een totaaloplossing zijn voor informatiebeveiliging. Integratie tussen WIP en AIP is echter vooralsnog afwezig, dus beide onderdelen moeten apart worden ingericht en beheerd.

Device Health Attestation

In Windows 10 is het met Device Health Attestation mogelijk om het opstartproces te monitoren. Je kunt dan bijvoorbeeld een voorwaarde stellen aan het al dan niet toegang krijgen tot verschillende diensten. Als voorbeeld kun je het verplicht inschakelen van Bitlocker nemen om toegang te krijgen een dienst in de cloud. Device Health Attestation leest dan uit of Bitlocker ingeschakeld is en stuurt deze informatie naar een server in de cloud. Deze informatie kan dan vervolgens weer uitgelezen worden, bijvoorbeeld Microsoft SCCM of een MDM-oplossing. Is alles in orde, dan wordt er toegang verschaft tot de applicatie. Het inschakelen van deze feature brengt dus wel wat extra werk met zich mee.