Windows 10 – Secure your desktop

Ronald Bevers

Wanneer er wordt gekeken naar werkplekken en de beveiliging daarvan, is vaak een groot aantal policies en instellingen te zien waarmee zoveel mogelijk bepaald wordt wat er gedaan mag worden op de werkplek. Welke gedachte zit hier achter? Als het gaat om het bepalen wat er op een werkplek gedaan mag worden, zijn deze policies en instellingen dan veilig?

Wanneer we stap terug doen en kijken wat het doel is, dan gaat het om beveiligen van data. Als we ons afvragen of met het dichtzetten van een werkplek de data beveiligd is, is het antwoord voor een groot gedeelte nee. De toegang tot de werkplek wordt beperkt en functionaliteiten worden verwijderd. Echter de werkplek van een eindgebruiker heeft vrijwel altijd toegang tot e-mail en internet. Daarmee stopt de beveiliging van de data voor de eindgebruiker omdat deze functionaliteiten gebruikt kunnen worden om data te verspreiden.

Data beveiliging

Het beveiligen van de Windows 10 werkplek, is een klein onderdeel van het beveiligen van data. De Microsoft Enterprise Mobility + Security suite heeft enkele componenten beschikbaar om eindgebruikers te helpen veilig om te gaan met bedrijfsresources. Naast de mogelijkheid om bepaalde zaken te forceren, is het doel om uiteindelijk de eindgebruiker te helpen in plaats van te beperken.

Beveiliging vs beperking

Naast het beveiligingen van de data is het uiteraard wenselijk de werkplek te beveiligen. Als er een duidelijk onderscheid wordt gemaakt tussen wat beveiliging is en wat een beperking, kan er beter worden bepaald wat noodzakelijk is. Uiteraard is het instellen van een beperking niet vreemd en zal dit ook in de toekomst voorkomen. Echter is de vraag wat de echte noodzaak is van beperkingen terwijl beveiliging alleen maar belangrijker wordt.

Onder beveiliging vallen een aantal belangrijke onderdelen:

  • Toegangsbeveiliging: het authenticeren op devices en/of resources voor het verlenen van toegang. Voor een zakelijke omgeving gaat het hier altijd om een zakelijk account met wachtwoord en eventueel met extra beveiligingsopties zoals MFA (Multi Factor Authentication).
  • Rechten: administrator- of gebruikersrechten waarmee wordt bepaald wat de eindgebruiker mag op het device. Bijvoorbeeld het aan/uit zetten van de virusscanner en het installeren van applicaties.
  • Apparaat beveiliging: functionaliteiten op een device waarmee wordt voorkomen dat het device vrij toegankelijk is van buitenaf of via o.a. malware. Denk daarbij aan firewall en virusscanner.
  • Beveiligde gebruikersinteractie: hulpmiddel om te voorkomen dat acties automatisch worden uitgevoerd, zonder weet van de eindgebruiker. Bijvoorbeeld User Account Control.
  • Hardware beveiliging: beveiliging geregeld vanuit de bios, zoals TPM, Secure Boot, enz.
  • Lokale databeveiliging: encryptie voor de data op de disk wanneer het om fysieke werkplekken gaat.

Onder beperkingen vallen dan vrijwel alle andere policies en settings. Denk hierbij aan het verbergen van onderdelen in het configuratiescherm, het niet kunnen starten van de command prompt, etc. Vaak zijn deze beperkingen vanuit het oogpunt beveiliging niet zinvol of van toepassing.

Windows 10 basis beveiliging

Welke beveiliging is dan echt noodzakelijk in Windows 10? Er zijn veel mogelijkheden om uiteindelijk te komen tot een goede beveiliging van een device. Voor Windows 10 wordt geadviseerd minimaal aan het volgende te voldoen:

  • Account beveiliging: gezien we resources kunnen benaderen door te authenticeren met een account, is het belangrijk de juiste policies voor het account in te regelen zoals: - Wachtwoord policies zoals lengte, complexiteit en periode voor wijzigen wachtwoord.
    - MFA (Multi Factor Authentication), waarmee om een extra validatie wordt gevraagd, indien noodzakelijk. Bijvoorbeeld bij authenticatie vanaf een device die niet wordt vertrouwd, of vanuit een ander land.
    - Windows Hello, waarmee een pincode, vingerafdruk of gezichtsherkenning wordt ingesteld op het device i.p.v. het gebruik van het wachtwoord. Deze vorm van authenticatie is geregistreerd op de betreffende werkplek en kan dus niet worden gebruikt vanaf een andere werkplek. Het is dus niet mogelijk om het wachtwoord te achterhalen door simpel weg mee te kijken tijdens gebruik, of door het gebruik van een keylogger en dan vanaf een andere werkplek toegang te krijgen tot resources.
  • Lokaal administrator account: hiervan wordt geadviseerd om op elk device een uniek wachtwoord te gebruiken en bij voorkeur periodiek wordt gewijzigd. Microsoft Local Administrator Password Solution (LAPS) kan hier o.a. in voorzien. Een andere optie is om dit account uit te schakelen.
  • Windows Defender bestaat uit enkele componenten: - Virus & thread protection
    - Account protection (Windows Hello)
    - Firewall and network protection
    - Device security (ZOals controle op TPM)

In plaats van deze Microsoft oplossingen kunnen er ook applicaties met vergelijkbare functionaliteit worden gebruikt van third party vendors. Zolang er controle is over het netwerkverkeer via firewall en er actief wordt gemonitord op virussen en malware en op andere risico gebieden op de werkplek.

  • Data encryptie. Bijvoorbeeld BitLocker Encryptie wat een onderdeel is van Windows 10 en waarbij aan de volgende eisen moet worden voldaan: - Bios moet ingesteld zijn op UEFI Native
    - Secure boot moet actief zijn
    - Hardware voorzien zijn van TPM chip (Trusted Platform Module)
    - Bios wachtwoord moet zijn ingesteld om te voorkomen dat secure boot wordt uitgeschakeld.
  • User Account Control (UAC): om te voorkomen dat acties zonder tussenkomst van de eindgebruiker worden uitgevoerd. Een eindgebruiker moet bewust zijn van de werking van UAC.
  • Patch management: zorgt dat Windows 10 werkplekken worden voorzien van de laatste beveiligingsupdate.
  • Lokale user rechten: vrijwel alle bovenstaande beveiligingsinstellingen zijn te beheren en dus uit te schakelen door een account met lokale administrator rechten. Daarom is het essentieel dat eindgebruikers alleen lokale gebruikersrechten hebben.

Naast de bovenstaande basis punten zijn er nog extra beveiligingsopties. Microsoft kent voor Windows 10 Enterprise de volgende opties die als extra op de basis kunnen worden geactiveerd:

  • Windows Defender Credential Guard: Virtueel opslaan van wachtwoord in een beveiligde omgeving.
  • Windows Defender Application Guard: Voorkomt malware hacking wanneer gebruik wordt gemaakt van Microsoft Edge.
  • Windows Defender Advanced Threat Protection (ATP): Beschermt werkplekken tegen cyberbedreigingen, detecteert geavanceerde aanvallen en datalekken en automatiseert beveiligingsincidenten.

Beperkingen en faciliteren

Wanneer er naar andere policies en instellingen wordt gekeken, zijn dit vaak beperkingen voor de eindgebruikers of het faciliteren van bijvoorbeeld instellingen. De belangrijkste aanpassingen zijn op basis van gebruikersrechten afgevangen waardoor wijzigingen op desktop niveau niet mogelijk zijn. Daardoor blijven de functionaliteiten over die alleen gelden voor de betreffende eindgebruiker. Aanpassingen daarin zijn dan veelal niet beveiliging gerelateerd. Wanneer deze functionaliteiten worden geforceerd dan kan dit beperkend zijn of faciliterend. Wanneer het een faciliterende aanpassing is, zou dit een goede keuze zijn. Heeft de aanpassing geen faciliterend karakter, dan is de vraag of het noodzakelijk is en zo niet of dit dan eerder een onnodige beperking is. Ook voor een beheerder zal een beperkende policy het beheer complexer maken. Daarvoor wordt dan ook geadviseerd om deze niet te configureren.

Wilt u naar aanleiding van dit blog meer informatie over deze oplossingen of een advies wilt dat past bij uw organisatie, neem dan contact op met uw PQR-accountmanager of via info@pqr.nl.

Ronald Bevers
Senior consultant

>> meer blogs

Reacties

Reactie toevoegen