Blog
Tags:
Windows 10 is dood – maar betekent dat ook dat jouw jouw hardware rijp is voor de schroothoop?
Volgende week is het zover: de gewone support op Windows 10 wordt officieel beëindigd. Wie geen duur supportcontract heeft afgesloten, krijgt simpelweg geen beveiligingsupdates meer. Daarmee wordt Windows 10 vanaf nu een risico voor iedere organisatie die het nog gebruikt.
Microsoft legt de lat voor Windows 11 hoger. Alleen Intel-processoren van de 8e generatie of nieuwer (vanaf eind 2018) worden ondersteund. Daarnaast is een Trusted Platform Module 2.0 (TPM) verplicht.
Op papier ziet dat er goed uit: lijkt dat logisch: betere beveiliging, betere prestaties. In de praktijk is voelt het heel kort door de bocht. Want … wie gooit er na zeven jaar al zijn hardware weg? Veel bedrijven – en ook particulieren – gebruiken hun pc’s en laptops met gemak tien jaar. Want dat kan mákkelijk.
De TPM 2.0-chip is weliswaar in 2018 geïntroduceerd, maar pas veel later echt standaard geworden. Daardoor vallen zelfs relatief jonge systemen buiten de boot. Dat betekent: prima hardware, die nog jaren mee zou kunnen, maar die niet meer officieel ondersteund wordt. Microsoft, bedankt!
Natuurlijk bestaan er trucs en workarounds om Windows 11 tóch te installeren op systemen die de eisen niet halen. Maar daarmee begeef je je op glad ijs. Er is geen enkele garantie dat je na de volgende grote update nog kunt opstarten – of dat je überhaupt nog bij je data kunt.
De vraag is dus: is al die hardware nu echt end-of-life?
En belangrijker: hoe groot is de veiligheidswinst van Windows 11 ten opzichte van een volledig gepatcht Windows 10?
Microsoft heeft de keuze al voor ons gemaakt, maar organisaties moeten nu hun eigen balans opmaken. Schaf je versneld nieuwe hardware aan, met alle kosten van dien? Of onderzoek je alternatieven waarmee je langer uit de voeten kunt?
Eén ding is duidelijk: niets doen is geen optie meer.
Smoes of misleiding: Microsoft noemt het security, maar het gaat om macht
Microsoft presenteert de overstap naar Windows 11 als een kwestie van veiligheid. Maar wie goed kijkt, ziet dat veiligheid vaak niet meer is dan een handige smoes. Dit is wat er echt gebeurt: stap voor stap word je steeds afhankelijker gemaakt van het Microsoft-ecosysteem.
Neem het accountbeheer. Waar je vroeger nog een lokaal account kon gebruiken, is het nu verplicht een Microsoft-account aan te maken. Dat wordt verkocht als ‘veiliger’, maar de praktijk is dat je hele digitale leven daarmee onder hun vlag komt te hangen.
Documenten, instellingen, wachtwoorden – alles staat op de servers van Microsoft. Zelfs je BitLocker-sleutel wordt automatisch daar opgeslagen. Handig als je een nieuwe pc installeert, maar levensgevaarlijk als je ooit de toegang tot je account verliest. Dan ben je niet alleen je account kwijt, maar ook je data. Want die data is versleuteld en de sleutel ligt bij Microsoft.
Dit zie je niet alleen bij Microsoft. Big tech in de volle breedte heeft maar één doel: meer grip krijgen op jou en jouw digitale resources. Apple doet het, Google doet het en Microsoft volgt hetzelfde pad. Het afdwingen van een Microsoft-account is daar een logische, maar zorgwekkende stap in.
De Trusted Platform Module (TPM) speelt hierin een cruciale rol. Officieel is die er om je systeem veiliger te maken. In werkelijkheid gaat het 100% om controle. Zonder TPM zou jij bij iedere start zelf je sleutel moeten invoeren. Onhandig misschien … maar degene die dan de sleutel in handen heeft ben jij. Precies dat wil Microsoft voorkomen. Door de sleutel te koppelen aan de TPM en je Microsoft-account, hebben zij de macht – niet jij.
Veiligheid is niet de reden. Het gaat om wie de controle heeft over jouw digitale leven. Helaas ben jij dat minder en minder. Veiligheid als reden is een smoes … én het is misleidend. En … helemaal niet veiliger.
De mythe van de veilige TPM
Een Trusted Platform Module (TPM) (prachtige naam!) wordt vaak neergezet als ultieme hardware-beveiliging. In de praktijk is het niet zo onfeilbaar als het klinkt. De TPM stuurt ontsleutelingsinformatie naar de BitLocker-component van Windows volgens een vastgesteld protocol: Windows levert hardware-eigenschappen, de TPM levert een sleutel. Dat klinkt netjes, maar introduceert ook een fysiek aanraakpunt dat aanvallers kunnen misbruiken zodra ze fysieke toegang hebben.
TPM-chips zijn gewoon hardware met fysieke aansluitingen en documentatie: fabrikanten publiceren zelfs de specificaties en pinouts. Met de juiste kennis en gespecialiseerde meetapparatuur - denk aan analyzers en goede laboratoriumtools - is het technisch mogelijk om signalen te onderscheppen of te kopiëren. Dat is geen theoretie, dat zijn echte doemscenario’s; onderzoekers demonstreren al jaren dat fysieke of side-channel-aanvallen effectief zijn tegen hardwarecomponenten die als ‘veilig’ worden gepresenteerd.
Het grote verschil met een handmatig ingevoerde sleutel is dat (a) je dan geen vaste, aan het apparaat verbonden sleutel hebt en (b) fysieke manipulatie veel zichtbaarder wordt. Als iemand een analyzer in je pc prikt en je merkt iets verdachts, dan tik je simpelweg geen sleutel in. Dat menselijke detectiemechanisme is een extra beveiligingslaag die TPM-autorisatie niet heeft.
Kortom: een TPM verhoogt zeker de drempel voor eenvoudige aanvallen, maar het maakt een systeem niet onkwetsbaar. Vertrouwen op hardware-isolation als enige verdediging is riskant; wie écht controle wil houden over z’n data moet ook nadenken over fysieke beveiliging, sleutelbeheer en (waar nodig) handmatige authenticatie. En naast nadenken … handelen!
De ongemakkelijke waarheid over Windows 11
Microsoft herhaalt al jaren hetzelfde verhaal: elke nieuwe Windows-versie zou veiliger zijn dan de vorige. Mooi gebracht door de marketeers, helaas niet waar. De praktijk laat namelijk een heel ander beeld zien.
Neem het recente CrowdStrike-drama. Dat incident legde wereldwijd complete organisaties plat. Wat weinig mensen weten: de kern van dat probleem zat in een Windows-lek dat al sinds de tijd van Windows XP bestaat, in elk geval sinds 2009 maar waarschijnlijk al eerder. Microsoft wist er natuurlijk van, maar heeft openlijk verklaard dat ze het niet gaan oplossen. Wat? Dat betekent dat een volgend CrowdStrike-scenario morgen opnieuw kan gebeuren. Misschien door een antivirusleverancier, misschien door een beveiligingstool als Symantec, of zelfs door Microsofts eigen Defender. Het fundament is niet gerepareerd en zal dat ook niet gebeuren.
Daar komt nog iets bij: het enorme aantal services dat Windows standaard laat draaien. Veel daarvan gebruik je nooit, maar ze staan wel continu ‘open’. En elk extra proces is een potentieel lek. In plaats die attack surface kleiner te maken, zien we in Windows 11 méér services dan minder. Meer code, meer complexiteit, meer kans op fouten.
In die zin is Windows 11 niet wezenlijk veiliger dan XP ooit was. Natuurlijk zijn er verbeteringen toegevoegd: betere encryptie, strengere accountcontrole, moderne hardware-eisen. Maar zolang oude kwetsbaarheden blijven bestaan en onnodige functionaliteit standaard aanstaat, blijft het systeem kwetsbaar op fundamenteel niveau.
Het grote verschil met XP? De marketing. Waar Windows XP inmiddels als ‘ouderwets’ en ‘onveilig’ wordt gezien, wordt Windows 11 verkocht als de veilige toekomst. Maar onder de motorkap is er minder veranderd dan je zou verwachten. En dat is iets waar organisaties niet blind voor mogen zijn.
Pak de controle terug: stap uit het Microsoft-ecosysteem.
Het zal je niet verbazen, de fratsen van Microsoft ben ik al jaren beu. Bij Sciante hebben we daarom de knoop jaren geleden doorgehakt: we zijn volledig uit het Microsoft-ecosysteem gestapt. Geen eindeloze licenties meer, geen opgelegde hardware-eisen, geen lock-in die ons dwingt tot keuzes die we zelf niet zouden maken.
De overstap naar Linux op onze servers en Apple voor de werkplekken heeft ons niet alleen vrijheid gegeven, maar ook iets wat elke IT-afdeling direct voelt: lucht. Minder beheer, minder gedoe, minder brandjes blussen. Concreet besparen we ruim 75% op beheerinspanning – en dát is elke dag merkbaar.
Voor ons is er geen weg terug. Dat willen we ook helemaal niet zoals je begrijpt. Wij hebben de controle teruggepakt over onze data en onze IT, heerlijk.
Wil jij dat ook? Wil je af van de afhankelijkheid en overstappen naar een omgeving die goedkoper, eenvoudiger en gebruiksvriendelijker is?
Maak ook een afspraak met mij. Kosteloos. Geen verkooppraat (dat laten we aan Microsoft over ;) Wel advies, kostenbesparingen en andere eye-openers (zoals dat altijd gaat in deze gesprekken).