Is Windows 10 veilig? Beveiligingsopties van Windows 10 op een rijtje

Is Windows 10 veilig of niet? Windows heeft geen goede naam, maar een blik op de beveiligingsopties laat zien dat hackers het moeilijker hebben dan ooit. Gebruik ze om veilig te blijven.

Windows is het meest aangevallen besturingssysteem. Hackers richten zich nu eenmaal op het grootste doelwit. Microsoft doet zijn best om Windows veilig te maken, maar ‘zo veilig mogelijk’ houdt wel een flinke slag om de arm in.

Windows is een platform dat gebruikers veel vrijheden biedt. Moderne beveiligingsconcepten zoals bij iOS, waarbij gebruikers alleen door Apple gecontroleerde software mogen uitvoeren, vallen bij trouwe Windows-gebruikers niet in goede aarde.

We bekijken kort de beveiligingsopties van Windows 10. Wil je meer van je digitale wereld beveiligen dan alleen Windows, kijk dan ook naar onze security-checklist.

Als gebruiker mag je dus starten wat je wilt, maar Windows probeert je wel te behoeden voor de grootste gevaren. Het gratis Windows Defender antivirus is een vast bestanddeel van het besturingssysteem. Je vindt hem samen met andere beveiligings­opties door in het startmenu te zoeken op ‘Windows-­beveiliging’.

Defender wordt steeds beter. Bij een vergelijkingstest van het testinstituut AV-Test in 2020 ging Defender gelijk op met Avira, G Data, Kaspersky en andere veelgebruikte virusscanners. In tegenstelling tot antivirusprogramma’s die je zelf moet installeren, hoeft Defender er niet voor te zorgen dat de gebruiker zijn abonnement verlengt of dat hij reclame voor een duurdere optie te zien krijgt. Defender doet simpelweg wat hij moet doen.

Defender biedt bovendien Exploit Protection (standaard ingesteld en geactiveerd) en een cloudfunctie om zelfs onbekende virussen te stoppen. Een aanvulling daarop is SmartScreen (actief in Windows Verkenner en de Edge-browser) dat waarschuwt voor onbekende bestanden en onveilige websites. SmartScreen is standaard actief, je kunt het in Windows-beveiliging onder ‘App- en browserbeheer’ configureren.

Microsoft heeft de belangrijkste security-features bij elkaar gezet onder ‘Windows-beveiliging’.

Als reactie op de laatste aanvalstrends wordt Defender steeds weer met nieuwe functies uitgerust om Windows veilig te houden. Een van de bekendste is de bescherming tegen ransomware (Controlled folder access). Die verhindert dat willekeurige processen toegang krijgen tot de digitale eigendommen van de gebruiker. De functie kan bijvoorbeeld voorkomen dat een crypto-trojan de inhoud van de documentenmap versleutelt.

Je activeert de ransom­warebescherming via ‘Windows-beveiliging / Virus- en bedreigingsbeveiliging / Bescherming tegen ransom­ware beheren’. De schakelaar bij ‘Controlled folder access’ moet op Aan staan, de mappen met je belangrijkste gegevens (ook netwerkshares) kun je via ‘Beschermde mappen’ toevoegen. Daarna krijgen alleen nog processen die Microsoft voor betrouwbaar houdt toegang tot die mappen.

Via ‘Een app toestaan via Controlled Folder Access’ kun je meer programma’s aan de whitelist toevoegen.

De Application Guard van x64-versies van Windows maakt nog veiliger internetten mogelijk. Die start een instantie van de Microsoft-browser Edge in een voorgeconfigureerde Hyper-V virtuele machine, die afgeschermd is van het besturingssysteem.

Hij zit net als Hyper-V echter alleen in de Pro-versie van Windows en kan via ‘Windows-onderdelen in- of uitschakelen’ geïnstalleerd worden. Dat geldt ook voor het vergelijkbare Windows Sandbox, waarmee je in een virtuele machine software kunt uitproberen.

Veel Windows 7-gebruikers zullen zich nog het support-einde daarvan herinneren. Sindsdien krijgt hij van Microsoft geen veiligheidsupdates meer. Gebruikers van Windows 10 blijven naar het zich laat aanzien verstoken van dergelijke harde overgangen, want Windows 10 moet de laatste Windows zijn.

Microsoft voorziet Windows 10 regelmatig van updates om Windows veilig te houden en aan de andere kant tweemaal per jaar van functie-updates. Functie-updates moet je maximaal 18 maanden na het verschijnen ervan installeren, anders staakt Microsoft het onderhoud met nieuwe patches. Alleen voor bedrijven kan er een uitzondering gemaakt worden.

Windows Hello is een hoeksteen in het beveiligingsconcept van Windows 10. In plaats van met een wachtwoord kun je je als Windows-gebruiker eenvoudig met een vingerafdruk, gezichtsscan of pincode aanmelden. Dat voorkomt het gebruik van simpele en praktische – maar ook onveilige – wachtwoorden. Voor het instellen van Windows Hello en de pincode of biometrie open je simpelweg de Aanmeldingsopties via een zoekopdracht in het start­menu.

Windows kent veel mogelijkheden om je aan te melden en raadt een pincode aan in plaats van een wachtwoord.

Hello verbetert ondertussen ook de beveiliging van online-accounts bij services die niet van Microsoft zijn, want het is een gecertificeerde FIDO2-authenticator (security-key). Dat betekent, dat je via de browser met Hello bij websites kunt inloggen, in het ideale geval helemaal zonder wachtwoord, wat op dit moment nog maar bij weinig services lukt. Op veel plaatsen is Hello echter als tweede factor naast het bestaande wachtwoord te gebruiken.

Het booten van Windows wordt op verschillende manieren beschermd, o.a. met de in de UEFI-firmware geïntegreerde Secure Boot, door controleren van ondertekeningen van componenten die bij het starten geladen worden, met de Early Launch Anti-­Malware (ELAM) en de gecontroleerde start (Measured Boot).  Hiermee kunnen rootkits en verdachte componenten opgespoord worden.

Meer details en uitgebreidere informatie lees je in het artikel in c’t magazine 11/2020.

Je kunt de status van TPM en Secure Boot bekijken door via het startmenu te zoeken naar ‘Windows-­beveiliging’ en op Apparaatbeveiliging te klikken. Daar kun je ook de zogenaamde kernisolatie instellen, die een beveiligd geheugengebied voor belangrijke systeemprocessen inricht. Via ‘Kernelisolatiedetails’ en de schakelaar bij Geheugenintegriteit wordt code in gebieden die zo beschermd zijn pas uitgevoerd worden nadat de integriteit gecontroleerd is. Lukt het een exploit om aanvalscode in het beveiligde geheugen van de kernel te schrijven, moet dat zo herkend worden en de uitvoering ervan verhinderd.

Als deze optie op je systeem aanwezig is, kun je hem normaliter inschakelen. Bij eventuele opstartproblemen hierdoor zou Windows hem zelf moeten uitschakelen. Krijg je na inschakelen problemen met speciale software (zoals virtualisatiesoftware) dan kun je de schakelaar zelf terugzetten.

Windows Defender is bij iedereen bekend, maar heb je al eens van kernisolatie gehoord?

In Windows 10 zit het schijfencryptie-programma BitLocker. Dat versleutelt niet alleen de systeemschijf, maar als je wilt ook usb-sticks en externe harde schijven. Daarmee worden ze beschermd tegen het uit­lezen door onbevoegden. Die functie zit echter alleen in de Pro-versie.

De Home-editie kan bestaande BitLocker-schijven wel ontsleutelen. Als je de schijf dus eenmalig met een Pro-editie versleutelt, kan BitLocker hem vervolgens ook onder Home gebruiken.

Blijf op de hoogte van de nieuwste informatie om je systeem te beveiligen!
Schrijf je in voor de nieuwsbrief:

Met een Microsoft-account krijg je wat security betreft wat extra opties zoals een verloren apparaat op afstand lokaliseren en vergrendelen. Ook gegevens zoals de ontsleutel-key van Bitlocker worden dan naar de Microsoft-cloud geüpload. Voor maximale veiligheid kun je het uploaden naar de Microsoft-cloud dus beter vermijden.

Ook vanuit privacyoverwegingen is de nauwe verbinding met de Microsoft-cloud een aan twee kanten snijdend zwaard. Het installeren van Windows zonder Microsoft-account wordt echter steeds moeilijker.

Enkele beveiligingsfuncties van Windows 10 richten zich uitsluitend op zakelijke klanten, zoals Credential Guard en Windows Information Protection (WIP). Dat is bijvoorbeeld omdat ze aanvallen bemoeilijken die alleen voor een bedrijfsnetwerk relevant zijn.

Microsoft doet veel moeite om Windows 10 zo veilig mogelijk te maken – in dit artikel hebben we alleen de belangrijkste beveiligingsfuncties genoemd. Maar die inspanning is ook nodig, want Windows staat bij hackers door zijn enorme verbreiding hoog in het vaandel. Wil je meer dan Windows beveiligen, kijk dan ook naar onze security-checklist.

Een verbeteringsmogelijkheid zien we bij Bitlocker. Schijfversleuteling zou voor iedere gebruiker beschikbaar moeten zijn, ook voor de Home-editie. Android, iOS, macOS en Linux geven het goede voorbeeld en versleutelen standaard of bieden die optie in elk geval aan.

(informatie afkomstig uit het artikel van Ronald Eikenberg en Noud van Kruysbergen, c’t magazine 11/2020, p. 42)