Windows 10 1803: De privacy-editie

Deze versie van Windows zou in maart 2018 verschijnen. Wegens kwaliteits- en versieproblemen inclusief BSOD's in sommige final releases, werd de Spring Creators Update uitgebracht op 30 April als de April 2018 Update. Het is goed om te zien dat Microsoft de nadruk steeds meer legt op kwaliteit en niet op het zo snel mogelijk pushen van feature updates.

Voordat je de nieuwste updates installeert is het verstandig de nieuwste drivers en updates te installeren. Ook beveiligingssoftware moet worden bijgewerkt. Veel fabrikanten hebben speciaal voor versie 1803 een bijgewerkte versie klaarstaan. Je doet er goed aan te checken of dat ook geldt voor de software die jij gebruikt.

De volgende 'onderdelen-update' wordt verwacht rond september. Windows is ook bezig met het afstemmen van het tijdschema voor de release van de functies op die van Office 365. Hoewel er slechts zes maanden tussen de versies zitten, ondersteunt Microsoft elke individuele versie voor een redelijke tijd. Normaal gesproken ondersteunt Microsoft een Windows 10-editie met (beveiligings)updates voor 18 maanden.

Hier zijn enkele redenen om vroeger of later te upgraden naar de April 2018 Update:

Privacyfuncties

Microsoft heeft, mede door de invoering van de AVG/GDPR een aantal aanpassingen doorgevoerd aan de manier waarop data van gebruikers wordt verzameld en opgeslagen.

Microsoft gebruikt telemetrie om bij te houden welke instellingen jouw systeem gebruikt, of updates al dan niet succesvol zijn en welke functies je gebruikt. Ondernemingen in gevoelige sectoren vrezen vaak dat om welke reden dan ook geen informatie kan worden gedeeld. Voor de release van de April 2018 Update, moet je upgraden naar de enterprise-editie van Windows als je wel de updates wilde installeren, maar geen telemetrie wilde inschakelen, of je moest de trukendoos opentrekken.

Om de nieuwe Diagnostische Gegevensviewer te gebruiken en te bekijken, moet je deze inschakelen onder Instellingen. Ga dan naar Privacy en ga dan naar Feedback en Diagnose. Klik dan op "Diagnostic Data Viewer" om de tool uit de Windows store te downloaden.

Je kan bekijken wat er naar Microsoft wordt verzonden. De gegevens zijn gericht op ontwikkelaars, dus het kan zijn dat de details lastig zijn te begrijpen. Je kunt veel van de items die worden bijgehouden alleen goed snappen als je het besturingssysteem gedetailleerd begrijpt.

Daarnaast is er ook nog het online privacycentrum waar je kunt inloggen en bekijken wat Microsoft online verzamelt met betrekking tot je surfgeschiedenis en Cortana-gebruik. Klik hier om te bekijken wat er momenteel allemaal van je systemen wordt vastgelegd. Daar kan je ook gegevens verwijderen die naar Microsoft zijn verzonden.

Windows Update-notificaties

Microsoft brengt kleine wijzigingen aan in meldingen van Windows Update meldingen, zodat het veel duidelijker is dat er een update gaat plaatsvinden en je computer opnieuw wordt opgestart. De Windows 10-versie heeft ook instellingen toegevoegd om te helpen bij de installatie. Wanneer de computer is ingeschakeld, zal Windows Update ervoor zorgen dat een inactieve computer tijdens het installeren van een update twee uur lang niet in de slaapstand wordt gezet.

Wijzigingen in Windows Update

Beheerders krijgen meer groepsbeleid en registeraanpassingen om de bandbreedte van updates van Windows in een netwerkinstelling beter te regelen. Nieuwe functies bevinden zich onder Administrative Templates > Windows Components > Delivery Optimization. Met deze nieuwe bedieningselementen kan je de bandbreedte aanpassen die wordt gebruikt voor het downloaden op de voorgrond.

De hoeveelheid bandbreedte kan nu worden beperkt voor zowel Windows Update als Microsoft Store-updates. Voorheen kon je alleen de downloadbandbreedte beperken. Het is nu mogelijk Maximum Foreground Download Bandbreedte (percentage) of Maximum Background Download Bandbreedte (percentage) op te geven. Het proces voor het installeren van feature-updates is ontworpen om sneller te gaan, zodat het systeem weer kan worden gebruikt nadat de feature-update is geactiveerd.

Beheerders hebben de mogelijkheid gekregen om het venster voor rollbacks aan te passen. Microsoft had enkele jaren geleden de tijd dat zulke updates werden opgeslagen verkort naar 10 dagen, nu kunnen beheerders dism-commando's gebruiken om het aantal dagen aan te passen dat het systeem de vorige versie bewaart.

De volgende commando's kunnen worden gebruikt om de rollback-tijd aan te passen:

DISM /Online /Initiate-OSUninstall

Rolt de computer terug naar een vorige versie van Windows-update.

DISM /Online /Remove-OSUninstall

Verwijdert de mogelijkheid het besturingssysteem te deinstalleren.

DISM /Online /Get-OSUninstallWindow

Geeft het aantal dagen weer dat een upgrade kan worden teruggedraaid.

DISM /Online /Set-OSUninstallWindow

Laat gebruikers instellen hoeveel dagen een vorige versie wordt opgeslagen op het systeem.

Windows Hello

Windows Hello zorgt ervoor dat het beheren van wachtwoorden op een hele andere manier kan worden gedaan. Het ondersteunt het FIDO 2.0-authenticatie voor Azure AD-gekoppelde Windows 10-apparaten en heeft het uitgebreide opties en functies voor ondersteuning van gedeelde apparaten. Windows 10 S-modus (later meer hierover) brengt wachtwoorden naar een hoger niveau door het authenticatieproces te verplaatsen naar een mobiel apparaat.

De Microsoft Authenticator app is beschikbaar voor Android en iPhone en kan gebruikt worden om in te loggen. Het vervangt de traditionele wachtwoordverificatieprocedure. Ook het instellen van Windows Hello's alternatieve wachtwoordtechnieken is makkelijker. Je kan het proces nu starten vanaf het hoofd-inlogscherm en kiezen tussen de opties Windows Hello Face, Vingerafdruk of PIN.

Opties voor installatie en wachtwoorden

Microsoft moedigt fabrikanten aan om AutoPilot te gebruiken om computers op een veilige manier voor bedrijven in te zetten en te leveren. Surface, Lenovo en Dell ondersteunen momenteel AutoPilot en in de komende maanden verwacht Microsoft ondersteuning van meer leveranciers, waaronder HP, Toshiba, Panasonic en Fujitsu. In combinatie met Intune zorgt AutoPilot ervoor dat de machine tijdens het installatieproces wordt vergrendeld en op een veilige manier aan de eindgebruiker wordt geleverd.

Voor standalone computers biedt Windows 10 1803 nu de mogelijkheid beveiligingsvragen in te stellen om het makkelijker te maken een lokaal account met een vergeten wachtwoord te resetten.

Windows Defender hernoemd naar Windows Security

Microsoft heeft Windows Defender een andere naam gegeven en enigszins opnieuw ontworpen en noemt het nu Windows Security. Virus- en malwarebescherming, accountbescherming en firewall- en netwerkbescherming, app- en browserbeveiliging, apparaatbeveiliging, apparaatprestaties en gezondheids- en familieopties zijn nu subsets van de sectie Beveiliging. Gecontroleerde mappentoegang, toegevoegd in Fall Creators edition (1709), is verplaatst naar de sectie Ransomware-bescherming.

Windows Security deelt nu de status tussen Microsoft 365-diensten en werkt samen met Windows Defender Advanced Threat Protection, Microsoft's op cloud gebaseerde forensische analysetool. Windows Defender Exploit Guard omvat virtualisatie (VBS) en Hypervisor-beschermde code integriteit (HVCI).

Windows Defender Application Guard heeft ondersteuning voor Edge toegevoegd en kan nu worden ingeschakeld op Windows Pro, en niet alleen op de eerder ondersteunde Enterpriseversie. Application Guard moet worden ingeschakeld met behulp van Intune, Group policy of Powershell in Enterprise, maar kan ook worden ingeschakeld voor zelfstandige computers.

Verbeteringen in Edge

De Edge-browser staat nu extensies toe wanneer de browser in de Privé-modus wordt gebruikt. Bovendien is Windows Defender Application Guard nu beschikbaar voor Edge en Internet Explorer voor Pro-versies met de nieuwe release van 1803. Het is nu mogelijk via Microsoft Edge of Internet Explorer identificeren welke sites vertrouwd zijn en of een gebruiker naar een onbetrouwbare website surft.

Microsoft Edge opent de site in een geïsoleerde Hyper-V-container. Dit staat los van het host-besturingssysteem. Als de onbetrouwbare site kwaadaardig is, is de host-pc beschermd. De geïsoleerde container is dan anoniem, zodat een aanvaller niet bij de bedrijfsreferenties van je werknemer kan komen. Voor het inschakelen van Application Guard is hardware nodig die virtualisatie ondersteunt. Ga dan naar het Configuratiescherm, Programma's en onderdelen en schakel Functies in. Klik op om de functie Windows Defender Application Guard te installeren. In 1803 is deze feature nu opgenomen in de pro SKU en is niet langer beperkt tot de Enterprise-versie.

Ransomware bescherming

Controlled Folder Access, dat lokale mappen beschermt die het vaakst worden aangevallen door ransomware, werd voor het eerst geïntroduceerd in versie 1709 en verplaatst naar zijn eigen locatie in de Windows Security-sectie. Als u zich abonneert op Office 365, zijn extra ransomware-beschermingen en -detecties opgenomen. Als u een persoonlijke abonnee of Home-abonnee bent, meldt Ransomware-detectie nu wanneer de OneDrive-bestanden zijn versleuteld.

Kiosk modus

In enterpriseomgevingen wordt vaak de "kiosk modus" gebruikt. In deze modus wordt een vergrendelde browser zijn met enkele ondersteunde applicaties gebruikt. In versie 1803 wordt Intune nu als standaard gebruikt om Windows 10 in kiosk modus te gebruiken. De Kioskbrowser kan vanuit de Microsoft Store worden ingezet.

Windows S Modus

De grootste verandering, en de grootste potentiële veiligheidswinst, is de introductie van Windows S-modus. Het walled-garden-idee moet ervoor zorgen dat gebruikers geen applicaties kunnen installeren of openen die niet zijn binnengehaald via de Microsoft-store. Hierdoor weet je zeker dat alleen door Microsoft-goedgekeurde applicaties op de computer komen te staan wat de kans op malware aanzienlijk verkleint.

Beveiligingsrichtlijnen

Ten slotte heeft Microsoft een aantal beveiligingsrichtlijnen opgesteld. De verschillen tussen het ontwerp voor 1803 en het vrijgegeven basisontwerp voor 1709 zijn:

Twee scripts om instellingen toe te passen op lokaal beleid: één voor systemen met domeinnamen en één voor het opheffen van de blokkades op remote access voor lokale accounts, Dat is zeer nuttig voor systemen zonder domeinnamen en voor beheer op afstand met behulp van lokale accounts die met een administrator-wachtwoord (Local Administrator Password Solution - LAPS) zijn beveiligd.

Meer in overeenstemming brengen van richtlijnen over geavanceerde audits in het beveiligingsaudit- en toezichtsreferentiedocument voor Windows 10 en Windows Server 2016.

Bijgewerkte Windows Defender Exploitation Guard Exploitatie-instellingen (in een los EP.xml-bestand).

Nieuwe Windows Defender Exploitation Guard Attack Surface Reduction (ASR) mitigaties.

Het verwijderen van deel instellingen die geen mitigatie meer bieden tegen hedendaagse bedreigingen. De GPO-verschillen worden vermeld in een spreadsheet in de documenten-map van het pakket.