[Deze blog is geschreven door Bram Pardoel, Cloud/Infra Consultant bij QNH Consulting]

Organisaties kijken vaak enorm op tegen de migratie naar een nieuw besturingssysteem. Dat is natuurlijk niet gek, er komt ontzettend veel bij kijken om de overgang zo soepel mogelijk te laten verlopen. Denk hierbij aan hardware compatibility, applicatie (re-)packaging, datamigratie en natuurlijk de training om eindgebruikers kennis te laten maken met het ‘nieuwe’ besturingssysteem.

De Windows 10 ‘Anniversary Update’ is het meest recente product van Microsoft voor client systemen. Deze versie heeft naast een aantal nieuwe functies voor eindgebruikers, ook een nieuwe update/life cycle strategie en enkele nieuwe beveiligingsmogelijkheden die impact op een migratie hebben. Windows 10 is op vele vlakken vernieuwd, in deze blog wordt daarom alleen de focus gelegd op de nieuwe beveiligingsmogelijkheden.

Virtualization Based Security (VBS)

VBS is een van de nieuwe beveiligingsmogelijkheden en maakt gebruik van de virtualisatie functionaliteit welke beschikbaar is in Windows 10. Wanneer VBS wordt geactiveerd, vindt een scheiding plaats tussen de Windows- en Security Kernel laag. Hierdoor krijgt malware welke zich in Windows heeft genesteld, geen toegang tot de Security Kernel. VBS maakt gebruik van virtualisatie technologie in de processor (CPU).  Andere hypervisors zoals VMware Workstation of Oracle VirtualBox kunnen hierdoor niet additioneel geïnstalleerd worden.

Credential Guard

Credential Guard leunt op de VBS technologie en biedt bescherming tegen “Pass-the-Hash” en “Pass-the-Ticket” exploits. Credential Guard bewaart wachtwoord-hashes en tickets in het door VBS afgeschermde gedeelte. Credential Guard is een mooie oplossing, maar heeft wel een aantal eigenschappen welke dienen te worden overwogen. Zo wordt voor bepaalde authenticatie protocollen geen SSO (Single Sign On) ondersteund en worden sommige protocollen zelfs helemaal niet ondersteund. Dit betekent dat wanneer Credential Guard ingeschakeld is, er mogelijk applicaties zullen zijn die niet meer functioneren.

Device Guard (Code Integrity)

Ook Device Guard maakt gebruik van de VBS technologie en kan ingezet worden voor een complete lockdown van een Windows 10 client. Door middel van Code Integrity policies kun je alleen gesigneerde drivers en applicaties toestaan. Het vastleggen van de baseline en signeren van applicaties neemt veel tijd in beslag en heeft nogal wat voeten in de aarde, hierdoor dient de keuze voor Device Guard goed te worden afgewogen. Elke driver en applicatie dient gesigneerd te zijn, omdat het anders niet mogelijk is hier gebruik van te maken.

Windows Information Protection

WIP (Windows Information Protection) is een techniek waarmee je kunt bepalen welke applicaties welke bronnen mogen benaderen (bijvoorbeeld netwerk-shares). In combinatie met Applocker (voor onder andere toegang tot applicaties) zorgt WIP ervoor dat alleen pre-gedefinieerde applicaties toegang krijgen tot bepaalde data. Denk hierbij bijvoorbeeld aan een gedeelde database die alleen door vanuit een specifieke applicatie geopend mag worden.

WIP wordt samen met Bitlocker (harde schijf encryptie), AIP (Azure Information Protection) en Office 365 als totaaloplossing voor informatiebeveiliging gepositioneerd door Microsoft. Helaas is er nog geen integratie tussen WIP en AIP, waardoor beide onderdelen apart dienen te worden ingericht en beheerd.

Device Health Attestation

Door middel van Device Health Attestation is het mogelijk om het opstartproces van Windows 10 te monitoren. Afhankelijk van de Device Health status, kan ‘conditional access’ richting verschillende diensten worden toegepast (bijvoorbeeld SaaS applicaties). Een casus hiervoor zou kunnen zijn dat Bitlocker verplicht aan moet staan.

Met Device Health Attestation wordt geregistreerd of Bitlocker aan- of uit staat, deze informatie wordt doorgestuurd naar de Remote Attestation service in de Cloud of naar een Device Health Attestation server (nieuwe Feature in Windows 2016).

Microsoft SCCM (System Center Configuration Manager) of een Mobile Device Management oplossing, zoals bijvoorbeeld Intune, kan deze Attestation data uitlezen en er een actie aan koppelen. Een van deze acties kan bijvoorbeeld het toegang verschaffen tot een applicatie zijn.

 

Tot slot

Zoals je kunt zien zijn er nogal wat zaken op het gebied van beveiliging waarmee je rekening dient te houden tijdens een migratie naar Windows 10. QNH Consulting heeft de expertise in huis om samen met organisaties zowel de valkuilen als de mogelijkheden van een Windows 10 migratie in kaart te brengen. Elke werkplek migratie is uniek en een standaard migratie bestaat niet, dat weten wij bij QNH Consulting als geen ander.

Lees ook ‘Windows 10: oplettendheid geboden bij implementatie’


Delen op social media


Contact

Amsterdam

+31 20 460 9609

Maastricht

+31 43 207 3050

Groningen

+31 50 520 1888

Hasselt (België)

+32 11 77 12 77

Eindhoven

+31 40 2305624

Twitter