Blog
Tags:
Windows security: de zure melkkoe voor leveranciers
Wie even in de wereld van IT-security rondkijkt, ziet meteen een opvallend fenomeen: het enorme ecosysteem van beveiligingsproducten dat volledig draait om één platform: Windows.
Er zijn letterlijk honderden bedrijven die hun business gebouwd hebben op het repareren van de gaten die Microsoft laat vallen. Symantec, Norton, Bitdefender, CrowdStrike, ze verdienen er allemaal goed aan.
En dat gaat veel verder dan de klassieke antivirus of firewall. Denk aan EDR-tools, SIEM-pakketten, speciale encryptiesoftware, anti-phishingmodules en talloze monitoring-agents. Elk product belooft de zwakke plekken van Windows te compenseren.
Feitelijk koop je een dure reparatie-set omdat je weet dat de boot aan alle kanten lekt.
Maar we hebben het bij Windows niet over vrijetijdsvervoer. Het gaat om crusiale systemen. Het wrange is dat je als beheerder bovendien niet de volledige controle hebt over je eigen machines.
Zelfs met administratorrechten zijn er functies die je niet kunt uitvoeren. Bepaalde bestanden blijven onbereikbaar, processen zijn bewust afgeschermd. Alsof Microsoft je wil beschermen tegen jezelf – of simpelweg bepaalt wat jij wel en niet mag doen.
En dat gebeurt allemaal maar, zonder dat er iemand wordt gevraagd wat we ervan vinden.
Dat roept een pijnlijke vraag op: hoe volwassen is een besturingssysteem eigenlijk, als je er standaard tientallen extra lagen beveiliging overheen moet leggen om er iets bedrijfszekers van te maken? Je koopt een licentie, maar de echte veiligheid wordt achter een muur van betaalde add-ons gezet. Bizar.
Bedrijven blijven intussen pompen in die extra lagen, omdat het alternatief of onbekend maar veelal te spannend voelt. Maar misschien is dat de verkeerde reflex. Moet je je wel neerleggen bij deze afhankelijkheid? Zijn er opties om wél grip te krijgen op je eigen omgeving? En wat zijn de échte alternatieven voor wie niet langer beveiligingsbelasting wil betalen op een platform dat zichzelf “volwassen” noemt?
Windows security: gebouwd op een fundament uit 1977
De fundamenten van Windows zijn stokoud. Of je nu Windows 11 op de werkplek hebt draaien of Windows Server 2025 in je datacenter, onder de motorkap werk je nog steeds met technologie uit de jaren negentig. De basis werd gelegd met Windows NT in 1993. Sindsdien zijn er talloze lagen en functies bovenop gestapeld, maar de kern is feitelijk niet veranderd.
Sterker nog: het security model is nóg ouder. Microsoft nam het grotendeels over van VMS, een besturingssysteem dat Digital Equipment Corporation in 1977 ontwierp. Toen was dit model vooruitstrevend. Vandaag is het een museumstuk.
Is dat een probleem? Ja. Want wat ontbreekt, is de fijnmazige isolatie die moderne systemen als Linux en macOS wél kennen. Daar heb je tools als AppArmor en SELinux: mechanismen die processen en applicaties strak in een hokje zetten, met slechts die rechten die ze écht nodig hebben. Dat zorgt ervoor dat beheerders zich geen zorgen hoeven maken over applicaties die buiten de lijntjes kleuren, ook niet als ze geïnfecteerd zijn met malware.
Windows kent zoiets niet.
Natuurlijk, je kunt met ACL’s (Access Control Lists) de toegang van gebruikers tot bestanden beperken. Maar zodra een proces draait, houdt de controle op. Het besturingssysteem kijkt niet naar de executable of naar het procesniveau: het draait, dus het mag. Een zwakke plek die al decennialang openstaat. En waarvan hackers smullen.
Neem een webserver als voorbeeld. Elke publieke webserver heeft een breed aanvalsvlak. Daarom wil je die inperken tot minimale rechten: alleen lezen of schrijven waar strikt noodzakelijk. In Linux kan dat. In Windows niet. Zodra een gebruiker inlogt op de server – iets wat bij veel toepassingen nodig is – erft de webserver automatisch alle rechten van die gebruiker. Voeg daar een geslaagde cross-site scripting-aanval aan toe en de deur naar je gevoelige data staat wagenwijd open.
Met moderne isolatie zou de schade beperkt blijven tot de sandbox van de webserver. De gebruiker zou alleen toegang hebben tot de bestanden die via de webserver expliciet ontsloten zijn. Maar in Windows is dat een illusie. Eén proces krijgt al snel toegang tot het hele huis, terwijl je eigenlijk alleen de deur naar de hal wilde openzetten.
En precies dát maakt Windows anno 2025 zo gevaarlijk: het draait op een fundering die niet meer berekend is op de dreigingen van nu.
Windows-beveiliging in de praktijk: alles of niets
Op papier lijkt het Windows-beveiligingsmodel redelijk doordacht. Het besturingssysteem kent standaard verschillende rollen, zoals Print Operator of Backup Operator. In theorie zou je zo taken fijnmazig kunnen verdelen en rechten precies kunnen toewijzen waar nodig.
In de praktijk zie je dat nauwelijks terug. Bij de meeste organisaties zijn medewerkers óf gewone gebruikers óf administrator. Tussenposities bestaan amper. Het gevolg: er wordt niet gestuurd op “least privilege”, maar op gemak. En dat gemak komt met een prijs.
Want zodra een administrator gecompromitteerd raakt, opent dat meteen de deur naar kruisbesmetting. Een admin heeft niet alleen rechten op de machine waarop hij of zij werkt, maar ook directe toegang tot alle systemen waarvoor die bevoegdheid geldt. En dat geldt vanaf elk punt in het netwerk waar wordt ingelogd.
Dat betekent: toegang tot de standaard gedeelde volumes (C$, D$, …), maar ook tot kritische onderdelen zoals de lokale user database en beveiligingsdiensten van die machines. Eén gehackt account verspreid zich razendsnel en trekt het hele domein onderuit.
De beperkte toepassing van rolgebaseerde security maakt Windows in de praktijk een systeem van alles-of-niets. Of je mag bijna niets, of je mag bijna alles. En in een tijd waarin aanvallers steeds slimmer en sneller opereren, is dat geen luxeprobleem maar een fundamenteel risico.
Denk nou niet, dat zal bij ons vast niet het geval zijn. Check minimaal hoe het bij jou geregeld is of spring meteen naar de onderkant van dit blog, we helpen je vrijblijvend op weg.
Security by design? Niet bij Microsoft
Het recente gat in Entra – ontdekt door een security-onderzoeker – laat opnieuw zien hoe Microsoft met beveiliging omgaat. Door geldige tokens te manipuleren bleek het mogelijk om wereldwijd bij elke Entra-klant global admin privileges te krijgen. Een nachtmerriescenario dat de kern raakt van identiteits- en toegangsbeheer.
En juist daar ligt de link naar Windows. Veel Windows-machines authenticeren tegenwoordig rechtstreeks via Entra. Als daar de basis wankel is, zijn ook de fundamenten van Windows-beveiliging instabiel.
Helaas staat dit niet op zichzelf. Er zijn meerdere bekende kwetsbaarheden in Windows die Microsoft hardnekkig weigert te verhelpen. Het lek dat de aanleiding was voor het recente CrowdStrike-debacle is slechts één voorbeeld. In plaats van dit structureel op te lossen, schuift Microsoft het probleem vooruit.
Het patroon is duidelijk: beveiliging wordt niet gezien als kern van het product, maar als verplicht nummer. Een kostenpost. Microsoft doet wat noodzakelijk is om door audits te komen of om publieke druk te temperen, maar echte security by design ontbreekt. In de architectuur van Windows – en ook van andere Microsoft-producten – zie je vooral pleisters, workarounds en losse patches.
Voor organisaties betekent dit dat je nooit kan vertrouwen op de keurig in stand gehouden illusie van “Microsoft regelt het wel”. Beveiliging moet je zelf regelen; afdwingen bij Microsoft gaat niet want dat stokoude fundament is al decennia niet robuust genoeg. Het is tijd voor verandering.
Betonrot in je IT? Tijd om te slopen en opnieuw te bouwen
Soms is er geen redden meer aan. Als een gebouw vol betonrot zit, kun je blijven stutten en plamuren, maar uiteindelijk moet het tegen de vlakte. Precies zo gaat het met IT die gebouwd is op een verouderd fundament. Je kunt blijven investeren in lagen beveiliging, maar de kern blijft kwetsbaar.
Nou hoor ik je denken, “je hebt gelijk Hugo maar dat is een operatie die voorlopig niet op de agenda staat, te kostbaar, te ingrijpend.”
Lees dan dit:
Wij hebben dat radicaal opgelost voor diverse klanten : stap voor stap afscheid genomen van het Microsoft-ecosysteem. Linux op de servers, macOS op de werkplekken. Twee platformen die naadloos samenwerken, beide gestoeld op de robuuste Unix-filosofie. Het resultaat: meer controle, minder onderhoud en een veel veiliger omgeving.
Stop met eindeloos pleisters plakken. Kies voor grip op je eigen IT én kies voor de veiligheid die je organisatie verdient. Laten we samen kijken hoe het er bij jou voorstaat. En of en hoe je die overstap maakt. Plan een vrijblijvende afspraak, dan laat ik je precies zien welke stappen nodig zijn. En wat je op jaarbasis bespaart; want wie wil er nou geld uitgeven aan zure melk(koeien)?