Microsoft Defender voor bedrijven krijgt detectiemogelijkheid voor uefi-malware

De zakelijke variant van Microsoft Defender kan voortaan ook uefi-malware ontdekken. Defender Advanced Threat Protection wijzigt daarvoor de System Guard-feature. Daardoor kunnen firmwareaanvallen worden voorkomen door onder meer secure boots te garanderen.

Microsoft voert de wijzigingen door in Defender Advanced Threat Protection, de betaalde enterprisevariant van de standaard beveiligingssoftware van Windows 10. Daar komt een scanner in te zitten die rootkits en andere malware in de Unified Extensible Firmware Interface kan detecteren.

Dat doet Microsoft onder andere door hardware-backed beveiliging toe te voegen. Dat gebeurt onder andere via runtime attestation, dat sinds 2018 in Defender zit, en Dynamic Root of Trust. Daarvoor moeten gebruikers wel bepaalde hardware hebben zoals een Secured Core-systeem.

Daarnaast scant Defender ATP het volledige bestandssysteem, waaronder bestanden binnen de uefi-firmware. Ook controleert de scanner de firmware via de Serial Peripheral Interface. De nieuwe scanner checkt periodiek op verdachte handelingen in de firmware, maar geeft ook meldingen als er bijvoorbeeld een onverwachte driver wordt geladen.

Microsoft zegt dat het de laatste jaren steeds meer geavanceerde hacks ziet waarbij de malware op firmwareniveau wordt geladen. Zulke malware is persistent en blijft dus op het systeem staan na een herstart of zelfs een reset, en is vaak moeilijker te vinden door beveiligingssoftware.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 22-06-2020 10:19 63

22-06-2020 • 10:19

63

Lees meer

Microsoft brengt Secured-core-label voor extra beveiligingseisen naar servers
Microsoft brengt Secured-core-label voor extra beveiligingseisen naar servers Nieuws van 8 december 2021
Microsoft brengt Network Protection in Defender ATP dit jaar uit voor macOS
Microsoft brengt Network Protection in Defender ATP dit jaar uit voor macOS Nieuws van 16 november 2020
Microsoft kondigt nieuwe kernelbeveiligingsfuncties voor Windows 10 aan
Microsoft kondigt nieuwe kernelbeveiligingsfuncties voor Windows 10 aan Nieuws van 9 juli 2020
Microsoft gaat Web Content Filtering zonder licentie aanbieden in Defender ATP
Microsoft gaat Web Content Filtering zonder licentie aanbieden in Defender ATP Nieuws van 7 juli 2020
Microsoft werkt aan Defender voor iOS en Android en brengt versie voor Linux uit
Microsoft werkt aan Defender voor iOS en Android en brengt versie voor Linux uit Nieuws van 20 februari 2020
Microsoft stopt op 14 januari ook met ondersteuning Security Essentials
Microsoft stopt op 14 januari ook met ondersteuning Security Essentials Nieuws van 10 december 2019
Microsoft wil pc's met Secured-core-label beschermen tegen firmware-aanvallen
Microsoft wil pc's met Secured-core-label beschermen tegen firmware-aanvallen Nieuws van 22 oktober 2019
Meer producten en artikelen
Beveiliging en antivirus Microsoft Windows Windows defender

Reacties (63)

-Moderatie-faq
63
59
29
4
0
25
Wijzig sortering
DarkJack @RobbieB22 juni 2020 10:44
UEFI is generiek net zoals BIOS generiek is. Alleen is UEFI veel meer een mini OS, compleet met zijn eigen netwerk stack en command line interface, waardoor het iets kwetsbaarder is voor attacks en exploits.

Er zijn al een tijd intitiatieven uit verschillende sources om manieren te vinden om te detecteren of de UEFI compromised is, immers valt heet le security model van je systeem in duigen als dat het geval is, immers vertrouwt het OS de hardware waarop het runt.

Dit is nu Microsoft's eigen voorzet van een dergelijke detectie.
field33P @DarkJack22 juni 2020 12:22
En waarschijnlijk wordt zulke detectie verder uitgerold naar consumenten indien het zich in de versies voor grote bedrijven bewijst. Het lijkt mij namelijk dat UEFI-malware vooral interessant is om te pushen naar specifieke doelwitten (bedrijven met vrijwel altijd een homogene vloot aan clients) in plaats van naar grotere massa’s gebruikers met miljoenen verschillende hardwarecombinaties. Je stuk malware is een beetje nutteloos indien een systeem erdoor gebrickt wordt (want dan valt het verdienmodel uit elkaar)
R4gnax
@field33P22 juni 2020 12:54
UEFI malware zal altijd eerst vanuit het OS weggeschreven moeten worden. Op dat niveau kan er eerst een check plaatsvinden met welk type mobo je te maken hebt, en kan een geschikte payload opgehaald worden voor dat type mobo.

In die zin is het homogeen/heterogeen argument en het voorkomen van een brick een overkombare drempel. De realiteit is meer dat het een kosten/baten-probleem is: wat levert het op om voor alle die verschillende families aan mobos een hack te moeten ontwikkelen? En laat dat nou net iets zijn wat zich, net zoals met de aangroei van andere exploit kits, over tijd heen vanzelf oplost en daarmee rendabel wordt.

[Reactie gewijzigd door R4gnax op 22 juli 2024 16:40]

field33P @R4gnax22 juni 2020 14:59
In het geval van grotere organisaties hacken is het gewoon een kwestie van een UEFI update pakken van diverse moederborden voor redelijk recente Optiplexen en ProDesks en die aanpassen. Kost relatief weinig (al helemaal wanneer je een statelijke actor bent), levert veel op. Bij consumentenhardware gaat dat inherent een stuk minder opleveren door het grote aantal verschillende moederborden (hoewel een tooltje in theorie een batch-aanpassing kan doen van alle InsydeH2O en AMI Aptio-kernen)
Cerberus_tm @DarkJack22 juni 2020 23:19
Ik snap niet helemaal dat moederborden niet met een fysiek schuifje worden geleverd voor UEFI flashen. In elk geval de borden voor particulieren. Desnoods staat het schuifje bij levering op "toestaan", voor bedrijven die te lui zijn om die schuifjes om te zetten voor al hun computers wanneer een update nodig is.
DarkJack @Cerberus_tm23 juni 2020 06:26
dat is geen goed idee. De toekomst is signed UEFI updates via Windows Update. Dit is al beschikbaar op business-grade devices, en gebruikt het "UEFI capsule updates" principe waar de firmware update geserveerd wordt alsof het een driver update is.
Cerberus_tm @DarkJack23 juni 2020 06:34
Waarom is dat geen goed idee? Lijkt me fundamenteel veiliger, wat betreft rootkits lijkt me veiligheid van het grootste belang. Hoe vaak heb je nou echt een UEFI-update nodig.
DarkJack @Cerberus_tm23 juni 2020 07:41
heel vaak? Toch als je deftig up to date wil blijven als je een Intel systeem hebt. Ga gerust maar eens kijken op de download site voor bijvoorbeeld een HP EliteBook of Dell Latitude, kijk naar de BIOS updates en ga maar eens de lijst van CVEs checken die gefixt worden in elke update.

Op consumer systemen wordt daar minder van aangetrokken, maar op business systemen is dat een heeeeel ander verhaal.
Cerberus_tm @DarkJack23 juni 2020 20:59
Als het echt nodig is voor sommige mensen, kunnen die het schuifje open laten? Maar voor de meeste mensen is dat toch echt zo vaak nodig.
Loller1
@RobbieB22 juni 2020 10:36
UEFI is geen software van Microsoft.
n9iels @RobbieB22 juni 2020 10:40
Het is 2020; de complot theorieën dat de anti-virus maker ook de virussen maakt zijn toch onderhand wel onjuist bewezen?
oezie @RobbieB22 juni 2020 10:46
In hun eigen software? Zoals @Loller1 terecht aangeeft is UEFI geen Microsoft software. Het is software dat tussen de hardware firmware en het OS draait en wordt meestal door de fabrikant van het moederbord gemaakt.

https://uefi.org/faq
jqv @RobbieB22 juni 2020 12:04
Weet je wel qat UEFI is?

Daarnaast als je zulke beweringen doet qua kwetsbaarheid...kom dan maar met bewijs. Nu roep je maar wat.
Simon Weel 22 juni 2020 14:08
Het inherente probleem van een virusscanner, hoe goed ook, is dat deze zijn werk pas doet als het kwaad al (bijna) is geschied. Al jaren roepen de deskundigen dat je geen lijst moet maken van malware, maar van 'goodware'. In goed Nederlands: Application White Listing. Kennelijk toch nog ingewikkelder dan een virusscanner...
sprankel @Simon Weel22 juni 2020 19:14
Dit gaat niet over een virusscanner, dit gaat over advanced threat protection. Kan je er een naam op kleven wat je wilt natuurlijk maar wat jij onder een virusscanner verstaat is al lang totaal achterhaald.

Wat betreft white listing, dat zit niet in de antivirus maar in het OS ingebakken onder de naam App locker sinds Vista. Echter niet zo populair omdat je letterlijk iedere applicatie moet whitelisten en dus enkel in gebruik in heel hoge security omgevingen. Voor simpele kiosken is er natuurlijk kiosk mode waarbij je enkel 1 of 2 applicaties krijgt.

Wat betreft beveiliginssoftware, die werken al lang op veel meer dan simpele heuristic scanning, je kan de werking vergelijken met een spam filter, als een uitvoerbaar bestand geplaatst word (nog niet eens uitgevoerd) dan word daar al een sample van genomen en kijkt met in de backend (meestal een cloud) of deze gekend is en in hoeverre deze vertrouwd is, vervolgens kijkt men of deze digitaal getekend is en in hoeverre de uitgever vertrouwd is. Een onbekende en onvertrouwd uitvoerbaar bestand zal sowiezo limititaties krijgen zoals het niet mogen editeren van bepaalde folders of registers. Afhankelijk van product tot product & instelling is dat uitvoerbaar bestand nu reeds volledig gekopiëerd naar een sandbox in de cloud voor automatische analyse, afhankelijk van instelling kan het zijn dat je dat bestand niet kan uitvoeren voor die analyse klaar is.

Als dat bestand start en dat begint verdachte handelingen te stellen gaat de score negatief waarbij het bestand een algemene trojan of iets iets anders krijgt als stempel waarbij de AV begint de desïnfecteren en alle acties die het bestand gedaan heeft terug draait.

De parameters waar dat op gebasseerd zijn gaan breed, een applicatie zonder GUI , zich willen nestelen in startup locaties, system folders benaderen, rechten op files aanpassen, host file aanpassen, netwerk verbindingen open gooien, scannen van geïnstalleerde software, scannen van netwerk, full screen gaan zonder windows controls en ga maar door, levert allemaal slechte punten op tenzij je als applicatie digitaal getekend bent, als trusted gekend staat, de hash van de file niet afwijkt en het gedrag overeenstemt met het gekende gedrag op basis van hoe die applicatie zich bij een miljoen andere computers gedraagd. Kan je dus intrrepreteren als een white list.

Dat neemt echter niet weg dat je dan 100% veilig bent, het is en blijft een kat en muis spel waarbij zowel de muis als de kat alsmaar slimmer worden.
Magyku30 22 juni 2020 14:35
Dit moet je dus niet vanuit het OS willen proberen te borgen maar juist primair en alleen op hardwareniveau. HP heeft dit bijvoorbeeld al jaren (sinds 2012) in hun EliteBooks en sinds vorig jaar ook in de ProBooks zitten in de vorm van HP SureStart (gestoeld op HP's Endpoint Security Controller), dat gaat veel verder dan deze implementatie. Het monitort namelijk de integriteit van niet alleen de UEFI maar de volledige firmwarestack onder het OS inclusief Intel Management Engine. Het kan alle onderdelen beschermen door deze terug te brengen naar een 'golden' kopie die door HP op integriteit is gecontroleerd en met een privaat/publiek certificaat en met hoge mate van encryptie wordt opgeslagen op de ESC. Én het functioneert als er geen OS draait of de SSD is voorzien van bijvoorbeeld ransomware. Daarnaast wordt ook het SMM (System Management Mode) in het geheugen real-time beschermd. Dit alles is te rapporteren via WMI en centraal te beheren via PowerShell scripts en/of de SCCM plugin. Dat maakt ook dat deze implementatie voor het gehele systeem als enige NIST800-193 compliant is (Firmware Resiliency).
Calamor 22 juni 2020 11:53
Laatst zat ik te denken. Zou het eigenlijk helpen om een wachtwoord op de bios/uefi voor bescherming? Denk dat het ook weinig effect heeft, want de malware kan gewoon een brute force attack er op los laten en komt er dan nog in.
Verwijderd @Calamor22 juni 2020 14:39
kan enigszins helpen!
Arroquw @Calamor22 juni 2020 14:59
De firmware staat compleet op 1 flash chip, een wachtwoord gaat niets aan de security daarvan doen, want deze beveiligt alleen de bios instellingen die een gebruiker kan veranderen en als je bij het instelling menu komt, is het al te laat.

[Reactie gewijzigd door Arroquw op 22 juli 2024 16:40]

locke960 @Calamor22 juni 2020 20:24
Dit probleem is 30 jaar geleden al opgelost. Toen zaten er een paar contactpennen met een jumpertje op het moederbord. Jumpertje niet geplaatst? Bios updaten gaat niet.
Maar we zijn liever lui dan moe...
Magyku30 @locke96023 juni 2020 07:39
Voor remote beheer niet echt een optie. Wij gebruiken nu Sure Admin van HP. Daarmee kun je BIOSsen massaal beveiligen middels een certificaat. Eventueel unlocken gaat via een QR code en een autorisatie app op je telefoon.
RoestVrijStaal 22 juni 2020 15:09
Ik ben benieuwd of dual boot nog wel mogelijk is.

Hoewel tegenwoordig .NET open source is en dus op Linux draait, ontkom je vooral bij legacy .NET applicaties niet aan Windows.
Cergorach
@memphis22 juni 2020 10:30
Heb jij thuis ook zo een uitgebreid bewakingssysteem als de bedrijven die dit gebruiken? Ik hoop het namelijk niet, of lopen er mensen rond van de 'beveiliging' en worden er tonnen, zo niet miljoenen aan beveiliging besteed? Zowel fysiek als digitaal? Nee, natuurlijk niet.
memphis @Cergorach22 juni 2020 10:41
Ik snap dat virusscanners verschillen maken tussen gratis en betaald en vaak zit dat in de mogelijkheden. Het uitsluiten van de detectie van een aantal virussen voor een gratis verie vind ik niet kloppen
sprankel @memphis22 juni 2020 19:35
Wat er mist in het artikel is dat je vanuit het OS de UEFI niet kan scannen, punt.

De functie komt dus ook wel degelijk naar Windows 10 echter je hebt er niets aan

"The UEFI scanner is a new component of the built-in antivirus solution on Windows 10"

Immers je hebt net zoals bij Kasperky hun KUEFI ondersteuning nodig van de hardware om dit mogelijk te maken:

"providing guarantees for secure boot through hardware-backed security features like hypervisor-level attestation and Secure Launch, also known as Dynamic Root of Trust (DRTM), which are enabled by default in Secured-core PCs. The new UEFI scan engine in Microsoft Defender ATP expands on these protections by making firmware scanning broadly available."

Echter in de consumenten range krijg je dit soort features niet verkocht, RGB lichtjes, licht gewicht, fancy design, dat verkoopt maar welke consument koopt er een enterprise laptop dat 50% duurder is vanwege en niet beperkt tot dit soort features? Juist, geen enkele (uitzondering daar gelaten) net zoals dat je geen laptops kan krijgen met ECC geheugen (uitzondering daar gelaten)

Of de fabrikanten dat nu wel of niet willen, de consument koopt voor ervaring, voor het wow effect en graag tot op de euro zo goedkoop mogelijk. De enterprise is de nuchtere klant met harde eisen maar ook bereid hiervoor te betalen.

bron: https://www.microsoft.com...rotection-to-a-new-level/
Dark Angel 58 @memphis22 juni 2020 11:16
Ik snap dat virusscanners verschillen maken tussen gratis en betaald en vaak zit dat in de mogelijkheden. Het uitsluiten van de detectie van een aantal virussen voor een gratis verie vind ik niet kloppen
Mooi gesproken! Daar ben ik echt met jou mee eens! Ze moeten het echt een optie in consumenten versie plaatsen, ben wel bereid om een abonnement te nemen voor extra protectie.
Blokker_1999
@memphis22 juni 2020 12:19
Maar dat doen ze dus expliciet niet. Ze hebben nieuwe methodes ontwikkeld om bepaalde systemen te monitoren op ongeoorloofde aanpassingen en brengen die functionaliteit nu naar de enterprise versie van Defender.
OkselFris @Cergorach23 juni 2020 08:00
Je haalt dingen door elkaar. Deze optie komt beschikbaar voor Defender ATP, dat is niet 1 op 1 Defender AV. ATP is heel leuk spul, maar beetje overkill voor thuis.
Cergorach
@OkselFris23 juni 2020 09:12
Hoe haal ik dingen door elkaar? Memphis wil zo nodig functionaliteit uit Defender ATP in gewone Defender hebben. Een doorsnee thuisgebruiker wil geen Defender ATP op zijn thuis pc hebben en dan heb ik het niet over de kosten.
OkselFris @Cergorach23 juni 2020 12:00
Ik denk dat ik op het verkeerde bericht reageerde. Moet op Memphis zijn bericht zijn.
Blokker_1999
@memphis22 juni 2020 10:30
Microsoft moet natuurlijk ook oppassen dat ze niet opnieuw beschuldigd worden van oneerlijke concurrentie. De versie van Defender voor thuis gebruikers is goed en voor de meeste mensen goed genoeg. Wil je meer diepgaande beveiliging dan kan je altijd een ander product nemen.
RobbieB @Blokker_199922 juni 2020 10:35
Wacht even. Dus MS zou beveiligingsfeatures achterwege moeten laten om oneerlijke concurrentie te voorkomen? Dat lijkt me een erg onwenselijke situatie. "goed genoeg" is iets waar je als thuisgebruiker ook geen genoegen mee zou moeten nemen als het beveilging betreft. Vrijwel al onze kritische persoonlijke zaken worden online gedaan. (Zorg)verzekeringen, gemeentezaken, bankzaken, belastingen, pensioen, etc. Dat is voor veel mensen kritischere data dan de bedrijfsdata waar ze mee werken...
vickypollard @RobbieB22 juni 2020 10:47
Zeg dat tegen de EU... Je zou kunnen beargumenteren dat deze beveiliging een essentieel onderdeel is van het besturingssysteem, maar door de dominante positie van Windows ondermijnt Microsoft daarmee de mogelijkheden en/of 'noodzaak' van andere partijen om in diezelfde beveiligingsmarkt te functioneren. Dus ja, ik zou het best logisch vinden, vanuit Microsoft bekeken, als ze features achterwege laten om niet weer in al dat gedoe te belanden. Wij weten natuurlijk niet of dat ook de reden is.

[Reactie gewijzigd door vickypollard op 22 juli 2024 16:40]

unreal0 @vickypollard22 juni 2020 11:43
Met die gedachtegang kan MS wel stoppen met de ontwikkeling van Windows, want geen enkel ander bedrijf maakt kans hier tegen te cocurreren..
Cergorach
@unreal023 juni 2020 09:40
Dat zal in de toekomst veranderen. Hell, dat is al significant veranderd. Het marktaandeel MacOS en Linux is nog nooit zo groot geweest. Zeker op de server kant is het aandeel Linux aan het toenemen terwijl het aandeel Windows Server aan het afnemen is. Daarnaast is er de laatste tien jaar een enorme verschuiving geweest naar smartphones, tablets en zelfs smarttvs die bijna allemaal geen Windows draaien (Surface Pro/Go zijn de uitzondering). Daarnaast is in de afgelopen tijd enorme sprongen gemaakt of het vlak van gaming op Linux een reden waarom velen op Windows blijven.

Na wat ik gister over MacOS op ARM heb gehoord, de ontwikkelingen van Microsoft zelf op dat vlak en de bergen emulatie die toch hier al voor nodig zijn, verwacht ik ook dat hier enorme meters worden gemaakt om meer OS onafhankelijk te zijn. Zelfs MS is bezig hun zakelijke Microsoft 365 diensten naar Linux te brengen (hoorde laatst al Defender ATP, maar nog geen Intune).

Er worden twee gedachte fouten gemaakt:
#1 Als MS zou stoppen met Windows ontwikkeling, zou dat alleen maar betekenen dat ze sneller marktaandeel zullen verliezen.
#2 Als we allemaal OS onafhankelijke software zouden hebben, Windows helemaal geen marktaandeel meer zou hebben.

Zelfs bij bedrijven waarbij een deel van de mensen kan kiezen voor een Mac, is er geen Mac overheersing. Slechts een heel klein deel van de mensen draait of wil Linux draaien in een zakelijke kantooromgeving. Zeker Linux in een kantoor automatisering is een issue, want de Linux kennis bij de afdelingen die dat moeten ondersteunen is vaak miniem. Daar op gaan werven is ook niet haalbaar omdat KA Linux beheer kennis extreme niche kennis is.
Blokker_1999
@RobbieB22 juni 2020 10:43
Met goed genoeg doel ik op hetzelfde principe als wat @Cergorach aanhaalt. De standaard versie van Defender zoals deze is opgenomen in Windows voor thuisgebruikers dekt zowat alle risico's af waar een thuisgebruiker mee te maken zal krijgen. Ja, je kan verder gaan, en daar zijn opties voor. Maar er zijn zovele bedrijven die een gratis en betaalde variant hebben van hun applicatie of waarbij specialistische functionaliteit vaak duurder is dan de basis versie. Ook in beveiligingsproducten zie je dat. Waarom zou dat voor Defender ineens niet meer mogen?
wiseger @RobbieB22 juni 2020 16:01
Het probleem is dat er al een markt was voor anti malware scanners. Microsoft ging deze markt, volgens eigen zeggen, betreden omdat er veel problemen waren bij de uitrol van een nieuw OS op bestaande apparaten die malware bevatten. Echter zoals we vaker zien, rekent Microsoft geen extra geld voor de nieuwe software maar bundelt het in de algemene verkoopprijs, zoals ze met IE destijds ook deden. Klanten die dus bij de aanschaf van een nieuw OS de 'gratis' defender kregen, stopte met het aanschaffen van een tweede malware scanner. Dit is wat de EU als oneerlijke concurrentie ziet, Microsoft vraagt geen geld voor haar Defender maar bundelt dit met het OS.
DarkJack @memphis22 juni 2020 10:41
Dit komt vooral door de hardware dependencies die deze feature heeft.

De gemiddelde thuis PC heeft niet de juiste hardware requirements om dit toe te laten, terwijl business grade devices (Dell Latitude, HP ProBook/EliteBook, Lenovo Thinkpad) dit wel hebben omdat ook andere business features er op dependen.
jpsch @DarkJack22 juni 2020 10:55
Kunnen ze het net zo goed beschikbaar maken.
memphis @DarkJack22 juni 2020 13:00
Hoeveel zakelijke PC's verdwijnen niet naar een thuisplek of worden ook gewoon gekocht door de gewone consument?
DarkJack @memphis22 juni 2020 13:46
heel weinig, tbh, althans "current" systems.

End of lifecycle zakelijke toestellen vinden idd hun weg naar thuisgebruikers als refurbished of 2de hands, maar dat zijn systemen van 4+ jaar oud, terwijl de features waarover hier gesproken wordt maar in de aller recentste hardware generatie zit..
memphis @DarkJack22 juni 2020 13:51
Ik zie het om mij heen toch anders, meer dan je denkt....
n9iels @memphis22 juni 2020 10:41
Ik denk dat je als "simpele" thuisgebruiker je hier geen zorgen over hoeft te maken. Vermoedelijk zal niemand je huis binnen sluipen om een USB stick in je PC te pluggen en malware te installeren. Denk eerder dat ze het hele apparaat gewoon mee nemen.
Henk Poley @memphis22 juni 2020 10:46
Hmm? Geïmplanteerde UEFI malware is voorlopig nog erg obscuur. Zeg maar, als dat tegen je gebruikt wordt dan komt dat waarschijnlijk uit een organisatie die toch wel binnen weet te komen (geheime dienst van overheid of buitenlandse overheid, serieuze bedrijfsspionage).

'Advanced Threat Protection' (ATP) is een soort dashboard voor je bedrijf. Waar bij Windows 10 Home het alleen op je eigen computer laat zien, en Microsoft het in hun 'telemetry' tegen komt, kan de systeembeheerder in ATP van alle computers in the Azure Active Directory een overzicht van detectie telemetry zien. Het lijkt me nogal onnuttig als Microsoft hun eigen scanner kortwiekt op Windows 10 Home, en dat ze dan zelf aanvallen missen.

En het 'Secured Core' verhaal, is weer een andere al bestaande mitigatie in Windows, dan de scanner die nu toegevoegd is. Het benodigd minimaal hardware van 2018 of later. In feite wordt het besturingssysteem direct na het opstarten nog eens 'herstart', op basis van alles dat in het geheugen zit. De processor wordt gevraagd alle ondertekeningen te checken, en te crashen als er iets niet klopt. Als je processor zo'n check instructie niet heeft, kunnen ze dat niet doen. Zit momenteel in sommige bedrijfs-gerichte laptops.

Ik snap niet helemaal waar je "niet dus" in relatie tot "simpele thuisgebruiker" vandaan komt.
jpsch @memphis22 juni 2020 10:54
Microsoft zegt dat je alles aan hen over moet laten. Vervolgens zijn er steeds problemen met updates en krijg je geamputeerde beveiliging.
R4gnax
@jpsch22 juni 2020 12:50
Microsoft zegt dat je alles aan hen over moet laten. Vervolgens zijn er steeds problemen met updates en krijg je geamputeerde beveiliging.
Die beveiliging is niet geamputeerd, maar stoelt op hardware-matige bescherming die niet op normale consumenten-apparatuur aanwezig is. Deze aan de consumenten-versie van Defender toevoegen zet niet veel zoden aan de dijk.

Daarnaast is het een zeer invasieve bescherming die bijv. ook het laden van drivers monitort en dat is niet wat je normaliter door een leek wilt laten managen. Dan krijg je situaties zoals met Riot's Vanguard anti-cheat, die per ongeluk drivers voor koelingsventilatoren buitenspel zette en letterlijk hardware van consumenten deed smelten.
Indentical @memphis22 juni 2020 11:02
Als je veilig wilt zijn trek je de glaskabel uit je router.

Een virus scanner loopt altijd achter de feiten aan, ze kunnen pas een virus blokkeren als deze, of een soort gelijke, al eens ergens gevonden is zo dat deze toegevoegd kan worden aan de libraries die de gebruikers ook moeten updaten. je bent nooit 100% veilig op het internet, en zo lang je je verstand gebruikt kan je zelf ook een hele hoop narigheid voorkomen.
Euronitwit @memphis22 juni 2020 12:31
Koop je er maar een McAfee , Norton of Kaspersky antivirus (om de grootste 3 te noemen) erbij.

[Reactie gewijzigd door Euronitwit op 22 juli 2024 16:40]

PageFault @whiner22 juni 2020 11:11
UEFI zit meer op het niveau van BIOS, dus als je dat als malware bestempeld, dan moet je geen PC meer kopen, maar uitsluitend nog telefoons gebruiken... UEFI gaat in de toekomst het BIOS vervangen.
Umbrah @PageFault22 juni 2020 12:07
Ook de bootloader van veel telefoons volgt op een uefi hoor! Het is niet x86 exclusief
R4gnax
@PageFault22 juni 2020 12:58
UEFI zit meer op het niveau van BIOS, dus als je dat als malware bestempeld, dan moet je geen PC meer kopen, maar uitsluitend nog telefoons gebruiken... UEFI gaat in de toekomst het BIOS vervangen.
UEFI is al de vervanger van BIOS. Alles wat je tot aan zeker 5 jaar geleden van de plank trok, draaide standaard al op UEFI en niet meer op BIOS. Wel is het vaak zo dat er zeker op de wat duurdere moederborden nog een legacy mode aanwezig is waarbij UEFI zich als BIOS voordoet.
PageFault @R4gnax22 juni 2020 13:00
Mijn mainboard is ook ouder dan 5 jaar. Maar fijn dat de klassieke BIOS bijna uitgestorven is.
XRayXI @PageFault22 juni 2020 20:47
Totdat, er in de BIOS geen nieuwe(re) CPU's (amper) weggeschreven kan worden.
nieuws: AMD geeft B450- en X470-chipsets toch ondersteuning voor Zen 3-cpu's
Ik heb een Onda B250 bordje in gebruik en ondersteunt 1151v1 Intels; 6de Gen t/m de 9de Gen. Waarom, omdat het erin past en de BIOS (B25BTC06.bin) is 8MB groot. Als jij ziet hoeveel mogelijkheden, aanpassingen enzovoort mee gedaan kan worden, sta je van versteld, ontzettend veel. Dat met simpel 'zwart-wit' volle pagina's. Hoe vaak ga je in de BIOS? Amper voor een 'normaal' gebruiker. Zie(nu vuil): https://imgur.com/a/65dB6AJ

[Reactie gewijzigd door XRayXI op 22 juli 2024 16:40]

Blokker_1999
@sus22 juni 2020 10:44
secure boot uit en gaan met die banaan over het algemeen. Enkel als je secure boot niet kunt uitzetten, en dat is een keuze van de hardwarefabrikant, MS heeft daar geen verplichting voor, kom je in de problemen.
WCA @Blokker_199922 juni 2020 11:26
De grote linux distro's zijn ook prima compatible met Secure Boot overigens, draai hier ubuntu en secure boot werkt gewoon
Caelorum @WCA22 juni 2020 12:52
En de bootloaders van de grote distros zijn zviw ook gesigned door Microsoft (iig in het geval van Fedora). Ze werken dus ook mee met het eenvoudig kunnen installeren van een ander OS.
sus @Blokker_199922 juni 2020 11:04
Bekend, maar bedoelde meer dat je dus een systeem kan treffen waar je gewoon gebonden bent aan Windows.

Best lastig als je daar pas na 6 maanden achterkomt en je dus ook niet kan ruilen of retourneren.
Verwijderd @Blokker_199922 juni 2020 14:39
vaak kan dit alsnog, maar zal je heel even een admin password moeten zetten op het bios/uefi.
ik zie dit dagelijks....

vele opties greyed out, die pas selecteerbaar worden als er een password op de BIOS zit.

ik ken geen apparaat waarbij secureboot niet uit te zetten valt (ik heb zo'n 50 tot 100 systemen per week in handen)
whiner @sus22 juni 2020 12:15
Laatst nog met een omweg de pc van mijn schoonouders geïnstalleerd.
Hun SSD in mijn pc gestopt en daarop Windows geïnstalleerd. SSD teruggeplaatst in de de computer van mijn schoonouders en hij boot gewoon :+

Maar de Chinese nuc varianten zijn echt een ramp om aan te passen, daar krijg je bijna geen linux distro op.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq