Microsoft brengt Windows 10 22H2 uit, de enige 'feature-update' voor dit jaar

Ter info, ook Windows 10 ondersteunt je CPU officieel niet meer (zonder dit echter af te dwingen). De lijst is nog niet aangevuld voor deze 22H2 versie maar dus ook bij 21H2 staan geen gen4 CPU's meer.
https://learn.microsoft.c...ws-processor-requirements

Zolang ze secure boot verplichten zal ik ook niet upgraden naar W11.

Met een register tweak is de rechtermuisknop actie weer terug te halen.

Door dit commando:

reg.exe add "HKCU\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32" /f /ve

Bron:
https://answers.microsoft...f3-411b-aeec-e460e6e5a82a

Je zou kunnen overwegen om kernisolatie aan te zetten? Of is dat onderdeel van TPM 2.0?

Met een tooltje is dat allemaal te omzeilen.

Ik moest eerst even kijken wat dit precies is, maar bij mij staat het aan (win10). Om te zien wat het is eventjes uitgezet maar ook weer heeeeeel snel aangezet. Ik vind "gecombineerd" wel zo prettig werken

Je moet je dieper inlezen in de nieuwe security welke optionieel in Windows 10 aangeboden word en verplicht gaat worden in Windows 11 maar nog niet default aanstaat omdat de gesupporteerde CPU's er tevens moeite mee hebben.

De TPM is omdat MS de private keys en certificates keys weg wil uit het OS, immers als ze in het OS zitten staan ze ergens op de disk. Dat gaat van opgeslagen wachtwoorden in browsers tot Windows credentials tot keys voor applicaties tot keys voor Bitlocker. Dat wilt dus ook zeggen dat applicaties dit gaan moeten supporteren. De tegenhanger op ARM is TrustZone en SecureZone bij Apple, Windows loopt hier eigenlijk hopeloos achter om legacy support te blijven geven.

De Secure boot is om te verhinderen dat een rootkit zich kan nestelen in het boot process, immers gezien je nu alle private keys in de TPM hebt zitten is het cruciaal dat er geen ongewenste gasten zich nestelen tussen de TPM en het OS, het OS moet de hardware kunnen vertrouwen.

De CPU eis heeft dan weer te maken met virtualisatie onder een optie memory integrity welke default nog steeds uit staat. Een andere naam hiervoor is Hypervisor-protected code Integrity. Het is een uitbreiding op core isolation welke draait rond het afschermen van de kernel door stukken van de kernel virtueel te draaien. Memory integrity gaat daar verder in en zorgt ervoor dat third party kernel drivers geen echte kernel toegang meer hebben. (en zeg maar meteen dag tegen anti cheating kernel drivers zoals bij Call of Duty Warzone)

Probleem is de CPU moet dat soort virtualisatie ondersteunen, bijkomstig probleem, zelfs al ondersteund de CPU het, met name de optie memory integrity durft wel eens een serieuze performance impact te hebben. Uit eigen praktijk testen met een Epyc Zen 2 platform, 40%! performance drop op specifieke storage oplossingen, dat is ook meteen de reden dat het default nog uit staat, zelfs de ondersteunde en volledig server gerichte CPU's hebben moeite om dit volledig te doen zonder een performance impact.

Dat is opmerkelijk gezien MS daar het volgende over zegt, "Starting with Windows 11, new installations on compatible systems have memory integrity turned on by default. This is changing the default state of the feature in Windows, though device manufacturers and end users have the ultimate control of whether the feature is enabled."

Er is overigens nog een security eis die gaat over het beveiligen van de SMM ofwel System management mode. Dat is een low level mode waarin de CPU zijn normale operaties on hold zet om andere taken uit te voeren, typerend power management van de CPU, de CPU uitschakelen mocht die te warm zijn maar evengoed communiceren met de TPM. Als malware zich kan nestelen in de SMM kan je daar vanuit het OS niets aan doen want het OS staat on hold als er iets uitgevoerd word in die modus. Echter MS heeft dat niet opgenomen als eis omdat Intel het maar mondjes maat ondersteund in het vPro platform en bij AMD is het eenvoudig, het bestaat er nog niet.

Gezeur, je kan nog prima applicaties starten en installeren op een Windows 11 machine. Misschien dat je van onbekende uitgevers extra kliks moet doen maar logisch. Want zomaar alles toestaan zonder bron of digitale handtekening of alle veiligheidstoepassingen uitzetten weet je niet wat je installeert en gaat op termijn je Windows zo instabiel werken dat Windows weer de schuld krijgt.

Wat een onzin. Het is voor dit soort lui ook nooit goed. De hele community loopt al jaren te zeuren en klagen dat Windows niet veilig is, dan doet Microsoft er wat aan - met gebruik van open standaarden nog wel - en dan beginnen ze te klagen dat Microsoft alle legacy meuk waar ze eerst over klaagde moet ondersteunen. Geen van deze eisen limiteren in enige reële zin wat jij kunt doen met je systeem, en als dat toch zo is kan je het gewoon uitschakelen.

Software gaat vooruit en Microsoft was het duidelijk beu om zwaar verouderde hardware te ondersteunen. Als je daar niet blij mee bent; blijf dan op de oude versie, niemand verplicht je te upgraden.

Dat is iets waar ik me de komende drie jaar niet druk over ga maken. Vergelijk W10 een jaar na release met W10 nu. Ik heb geen idee hoe W11 er uit zal zien met drie jaar. Wellicht dat MS de eisen bijstelt, wellicht dat ik mijn PCs vervang, wellicht dat ik de W11 restricties omzeil, wellicht dat ik er SteamOS (of een andere Linux variant) op installeer...

Ik ben uiterst tevreden over SteamOS op de Steam Deck, maar dat is een gevalletje van OS afgestemd op de hardware (en vice versa?), ik moet nog maar zien dat het zo goed werkt op een andere PC (en helemaal barebones)... Ik ga het voorlopig nog niet uitproberen, nergens voor nodig (wellicht op een VM, maar dat is niet vergelijkbaar met baremetal shenanigans)...

Dat is een misvatting, gebasseerd op een uitspraak die in 2015 gedaan werd. Maar uiteindelijk is niets voor eeuwig.

Lees hier een artikel van The Verge uit 2015 die de uitspraak context geeft

Klopt, dat heeft MS zelf aangegeven. Dat ze alleen nog feature en security patches gingen doen en 1 jaar later....tadaaaa Windows 11

In de techischere volksmond: feature flags dus.

Daarvoor heb je O&O shutup om die settings te controleren...

Natuurlijk kan een kleine update veel stukmaken.

Maar veel functionaliteit toevoegen is wel lastig in een micro update.

Ik had het meer gepost omdat MS door naamgeving het brengt als een grote update, en dat dat het dus niet is.

Windows 11 is ook gewoon net zo bruikbaar als windows 10 hoor, enige probleem is die TPM 2.0 verplichting die pas bij CPU's aanwezig is vanaf 2018.

Windows 8(.1) viel echt reuze mee ivm. ME en Vista! En ik vind het ook erg simplistisch om een hele OS lifecycle release als ramp of 'bruikbaar' te bestempelen. W10 bij release was echt niet zo 'bruikbaar' als nu, veel te veel updates en laten we het helemaal niet hebben over de duur van het 'upgrade' proces van toen... Ik zou willen stellen dat wellicht W8.1 van toen nog 'bruikbaarder' was dan W10 bij release...

Windows XP was aan het einde van zijn leven ook geen fijn product meer, enorme update shenanigans: 270 updates ergens (zonder te specificeren welke update) gaat er iets mis met een update en rollt die alle updates terug... De oplossing was dan natuurlijk updaten in kleine batches tot dat je de boosdoener tegenkwam, dan per stuk en de uiteindelijke oplossing was de boel in een heel specifieke volgorde updaten. Het driver feest, etc. XP was fijn na 95/98SE/W2000 (ME overgeslagen), maar puur omdat we niet beter wisten!