Windows-gebruikers kunnen een grote heoveelheid toevoegingen, uitbreidingen en nieuwe of verbeterde features tegemoet zien. Die heeft Microsoft aangekondigd tijdens het eigen evenement Ignite in Chicago, al waren veel toevoegingen al in preview beschikbaar. Onder meer Administrator Protection en een reeks integraties van patch- en updatefuncties met Microsoft Ignite en Windows Hello.
Zo krijgt Windows 11 er een aantal nieuwe security features bij, ‘de belangrijkste van deze generatie’ zelfs. Een van de opvallende is Administrator Protection, die de standaardinstellingen voor gebruikersrechten wijzigt in die van een standaardgebruiker. Deze nieuwe functionaliteit zorgt ervoor dat beheerders, of daartoe gemachtigde gebruikers, noodzakelijke systeemwijzigingen alleen kunnen doorvoeren na autorisatie via Windows Hello.
Geen rechten die rond blijven hangen
Wanneer een wijziging nodig is door een beheerder, maakt het systeem een tijdelijk, geïsoleerd admin-token aan dat automatisch verdwijnt nadat de taak is voltooid. Deze oplossing voorkomt dat admin rights blijven rondhangen in systemen, wat het risico op toegang door onbevoegden verkleint.
Om de bescherming tegen schadelijke apps en programma’s op te schroeven, komt Microsoft met policies voor Smart App Control en App Control for Business. Die zorgen ervoor dat alleen geverifieerde apps op een apparaat kunnen draaien, wat de installatie van malware via bijlagen en kwaadaardige mailtjes moet voorkomen. Door gebruik te maken van AI-hulp kunnen bedrijven snel de juiste beleidsregels implementeren om apps toe te staan, ongeacht waar die apps vandaan komen.
Passkey-ondersteuning in Windows Hello
Dan is er het terrein van de gebruikerscredentials. Windows Hello ondersteunt nu ook passkeys, wat de security verbetert, maar ook het inloggen hopelijk vereenvoudigt. Windows Hello integreert met zowel Recall als Personal Data Encryption, wat betekent dat deze functionaliteiten door Hello worden ‘bewaakt’. In het geval van Recall voorkomt dit het per ongeluk openbaren van gevoelige gegevens via deze veelbesproken snapshot-functionaliteit.
Een andere security-update betreft Windows Protected Print, dat ervoor zorgt dat printers die Mopria-gecertificeerd zijn werken zonder dat drivers nodig zijn van derde partijen (Mopria is een industriestandaard voor printen en scannen). Minder third-party-toevoegingen betekent een kleiner aanvalsoppervlak, is de gedachte.
Daarnaast introduceert Microsoft Delegated Managed Service Accounts (DMSA) om de toename van MFA-aanvallen gericht op serviceaccounts tegen te gaan. Deze functie automatiseert het beheer en de rotatie van referenties voor dergelijke accounts. Een belangrijk hulpmiddel, maar alleen beschikbaar voor bedrijven die Windows 24H2 of Windows Server 2025 gebruiken en een geüpgradede Server 2025 domain controller.
Tip: Microsoft brengt artificial intelligence samen op Azure AI Foundry
Een extra security-laag
Personal Data Encryption biedt een extra beschermingslaag voor bestanden die zijn opgeslagen in bekende mappen (‘known folders’) op enterprise-apparatuur. Door deze bestanden twee keer te versleutelen, zorgt Windows er nu voor dat alleen de geautoriseerde gebruiker er toegang toe heeft (wederom via Windows Hello).
Windows Enterprise versleutelt data al wanneer een device uitstaat, maar ook als een apparaat wordt gestolen en nog aanstaat, heeft de dief geen toegang tot individuele bestanden omdat de Hello-authenticatie ontbreekt. Deze functie werkt ook met OneDrive of SharePoint op Microsoft 365. Alleen systeembeheerders kunnen deze functie instellen via Microsoft Intune of een andere managementtool.
Microsoft heeft ook zijn tools voor het beheren van Windows-devices op schaal vernieuwd. Zero Trust DNS zorgt ervoor dat apparaten alleen toegang hebben tot goedgekeurde domeinen, terwijl Configuration Refresh MDM-securitybeleid helpt afdwingen en configuratiedrift voorkomt, zelfs wanneer apparaten offline zijn. Dat voorkomt ongewenste registerwijzigingen en brengt het device in kwestie op securityniveau weer ‘bij de les’. Deze feature is volgens Microsoft veelgevraagd en nu dus eindelijk geïmplementeerd.
Backup- en update-verbeteringen
Windows Backup ondersteunt nu apparaten gekoppeld via Entra ID. Dat maakt backup en herstel eenvoudiger. En om af te sluiten, is de functionaliteit die voorheen ‘Windows Update for Business deployment service’ heette, nu geïntegreerd in Windows Autopatch. Dat betekent betere integratie over de gehele linie, ongeacht of een gebruiker nu het Windows OS wil updaten, Microsoft 365 Apps for Enterprise, Microsoft Teams of Microsoft Edge.
Nog eentje dan. De Hotpatch-functionaliteit (in preview) download en installeert updates op de achtergrond, zodat gebruikers hun device niet opnieuw hoeven op te starten om de updates te implementeren. Iedereen die ongewenst en onverwacht zijn apparaat moest herstarten om updates te activeren, slaat hiermee een zucht van verlichting. Zowel Autopatch als Hotpatch zijn geïntegreerd met Microsoft Intune en staan dus ter beschikking van IT-teams.
Lees ook: Microsoft Copilot-agents zijn nog niet echt agents