Microsoft heeft meer details gedeeld over de nieuwe Windows 11-beveiligingsfunctie voor beheerderbescherming, die beschikbaar is in preview en Windows Hello-authenticatieprompts gebruikt om toegang tot kritieke systeembronnen te blokkeren.

Deze functie, die vorige maand voor het eerst werd geïntroduceerd in een preview-build voor Windows 11 Insiders in het Canary Channel, is ontworpen om “vrij beschikbare beheerrechten voor beheerdersgebruikers te beschermen, zodat ze nog steeds alle beheerfuncties kunnen uitvoeren met ‘just-in-time’ beheer privileges.”

Meer specifiek, zodra deze functie op een apparaat is ingeschakeld, zorgt deze ervoor dat degenen die zijn ingelogd op het systeem alleen standaardgebruikersrechten hebben. Ze zullen gevraagd worden om te authenticeren via Windows Hello met een PIN of biometrische methode wanneer ze proberen het register te wijzigen of nieuwe apps te installeren.

Deze extra authenticatieprompts zouden moeilijker te omzeilen moeten zijn dan de Windows User Account Control (UAC)-beveiligingsfunctie, zodat ze malware en aanvallers kunnen voorkomen van toegang tot dergelijke kritieke bronnen en het compromitteren van het systeem.

“Windows creëert een tijdelijk geïsoleerd admin-token om de taak uit te voeren. Dit tijdelijke token wordt onmiddellijk vernietigd zodra de taak is voltooid, waardoor beheerprivileges niet blijven bestaan,” zei David Weston, Vice President voor Enterprise en OS Security bij Microsoft tijdens Microsoft Ignite.

“Beheerderbescherming helpt ervoor te zorgen dat gebruikers, en niet malware, de controle over systeembronnen behouden. Het zal ook verstorend zijn voor aanvallers aangezien zij niet langer automatisch, direct toegang hebben tot de kernel of andere kritieke systeembeveiliging zonder specifieke Windows Hello-autorisatie.”

Zoals het Windows Insider Team in oktober deelde toen de functie voor het eerst werd geïntroduceerd, is beheerderbescherming standaard uitgeschakeld en moet worden ingeschakeld via groepsbeleid.

Windows Hello wordt ook gebruikt voor authenticatie om de toegang tot bestanden die zijn opgeslagen in de mappen Bureaublad, Documenten en Afbeeldingen te blokkeren met behulp van Personal Data Encryption, een functie die is geïntroduceerd met Windows 11 22H2 die de gegevens versleutelt zodat de apparaatbeheerder er niet eens toegang toe heeft voordat hij zich authenticeert.

Beheerders kunnen nu ook Smart App Control en App Control voor Bedrijfsbeleid inschakelen om te voorkomen dat gebruikers schadelijke apps en stuurprogramma’s downloaden, installeren en uitvoeren.

“Veel aanvallen vinden plaats doordat gebruikers onveilige of niet-ondertekende apps en stuurprogramma’s downloaden. Dit elimineert aanvallen zoals schadelijke bijlagen of sociaal geconstrueerde malware,” voegde Weston toe.

“IT-beheerders kunnen eenvoudig de sjabloon ‘ondertekend en gerenommeerd beleid’ selecteren in de app control wizard. Dit stelt miljoenen geverifieerde apps in staat om te draaien, ongeacht de locatie van implementatie.”