Microsoft gaat begin 2025 nieuwe herstelfunctie voor admins testen

Microsoft gaat begin 2025 een nieuwe herstelfunctie testen binnen het Windows Insider-programma. De Quick Machine Recovery-functie moet admins helpen bij het op afstand herstellen van Windows-systemen die niet meer willen opstarten na een crash.

"Met deze functie kunnen beheerders op afstand problemen oplossen, zonder dat ze fysieke toegang tot de pc nodig hebben en zelf als de apparaten uit staan", schrijft Microsoft. Quick Machine Recovery is een onderdeel van het zogenoemde Windows Resiliency Initiative dat opgezet is naar aanleiding van de wereldwijde CrowdStrike-storing in juli. Door de storing raakten pc's in een bootloop en waren de apparaten niet langer toegankelijk voor gebruikers.

Naast de herstelfunctie komt Administrator Protection binnenkort beschikbaar voor testers. Hiermee kunnen gebruikers zonder adminrechten systeemaanpassingen doorvoeren of apps installeren. Om de wijziging door te kunnen voeren, moet de gebruiker zich wel eerst verifiëren via Windows Hello. Na de authenticatie maakt Windows een tijdelijk token aan om de taak uit te voeren. Als de taak eenmaal is uitgevoerd, wordt het token vernietigd zodat de aangemaakte adminrechten niet blijven bestaan.

Reacties (29)

MPIU8686 19 november 2024 19:01

Lijkt me pap in de mond voor hackers om hier misbruik van te gaan maken ..

Luchtbakker @MPIU8686 • 19 november 2024 19:57

Lijkt me pap in de mond voor hackers om hier misbruik van te gaan maken ..

Als je machine al door een domein wordt beheerd dan kan je vanaf de server sowieso alles pushen naar een machine wat je wilt, dus ook malware.

Ik denk dat Microsoft een uniek gegenereerde Admin user aanmaakt per machine, waarmee je op remote dus als Admin zaken kunt uitvoeren. Als 1 machine een virus/malware oid krijgt, heb je dus niet de Admin sleutel van alle machines, maar enkel van de lokale machine.

Op zich niet erg ingewikkeld.

Bor Coördinator Frontpage Admins / FP Powermod @Luchtbakker • 19 november 2024 20:50

Ik denk dat Microsoft een uniek gegenereerde Admin user aanmaakt per machine, waarmee je op remote dus als Admin zaken kunt uitvoeren.

Nee dat wordt het niet. Dat staat letterlijk in het artikel: Hiermee kunnen gebruikers zonder adminrechten systeempassingen doorvoeren of apps installeren.

De oplossing werkt meer op basis van Just in Time (JIT) en Just Enough Access (JEA) lijkt het. Uit het bron artikel:

With administrator protection, if a system change requires administrator rights, like some app installations, the user is prompted to securely authorize the change using Windows Hello. Windows creates a temporary isolated admin token to get the job done. This temporary token is immediately destroyed once the task is complete, ensuring that admin privileges do not persist.

reinier68 @Bor • 19 november 2024 23:38

Klinkt wel OK vanuit beheer perspectief, maar nu kan je ook al elevations doen, maar wordt vaak alsnog getackeld door de ASR rules. Ben wel benieuwd of dat dan ook opgelost is.

Guru Evi @Bor • 20 november 2024 01:17

Maar voor die zaken heb je dus Windows Hello (TPM+SecureBoot) nodig. Een van de effecten van o.a. de CrowdStrike outage is dat booten in een alternatieve partitie/boot de TPM zichzelf versleutelt en zelfs na de herstellingen een BitLocker recovery key nodig had. In andere gevallen was de recovery partitie niet up-to-date met de huidige sleutels voor SecureBoot of de partitie zelfs verwijderd.

Natuurlijk kun je dit oplossen door dezelfde boot sleutel in deze partitie/recovery te stoppen maar als je ooit met BitLocker of LAPS gewerkt hebt, er is niets in Windows die sleutels atomisch synchroniseert, het werkt in 99% van de gevallen, maar 1 per 100 waar een fout optreedt is nog steeds veel werk. In principe zou een alternatief zoals Tang beschikbaar moeten zijn zodat het systeem kan terugvallen op iets dat niet zo fragiel is.

[Reactie gewijzigd door Guru Evi op 20 november 2024 01:19]

MrDrako @Luchtbakker • 19 november 2024 20:21

Dat is er al voor domein machines met een middels gpo geconfigureerd LAPS.

Bor Coördinator Frontpage Admins / FP Powermod @MrDrako • 19 november 2024 20:40

Met LAPS log je alsnog in onder het Administrator account met alle risico's van dien. Dat gebeurt in het geval van de nieuwe functie niet. Daar meldt men specifiek:

Hiermee kunnen gebruikers zonder adminrechten systeempassingen doorvoeren of apps installeren

Ik vermoed eerder dat het een soort setup wordt als gebruikt wordt bij Endpoint Privilege Management wat het mogelijk maakt om zaken met admin privileges uit te voeren (al dan niet beperkt tot vooraf gedefinieerde zaken) zonder dat het user account zelf local admin is.

MrDrako @Bor • 20 november 2024 10:43

Je hebt deels gelijk, het blijft *een* administrator account. Dat hoeft niet per sé het "Administrator" account te zijn. Je kunt daar ook een speciaal account voor aanmaken, zodat het default administrator account op slot kan. Dat account is dan wel gelijk voor de computers die onder die specifieke GPO vallen. Zo kun je in ieder geval kritieke systemen een ander account geven dan je werkplekken oid.

Bor Coördinator Frontpage Admins / FP Powermod @MrDrako • 20 november 2024 10:51

Dat klop maar ook *een* administrator account is nog steeds de hele tijd admin waar het hier niet om gaat volgens de berichtgeving van Microsoft.

ibmpc @MPIU8686 • 19 november 2024 21:25

Ik denk dat er wel wat beveiliging is ingebakken op basis bestaande tools. Zo wordt in ieder geval al WHFB genoemd. Waarschijnlijk zal LAPS, EPM en PDE hier ook een rol in spelen.

Bor Coördinator Frontpage Admins / FP Powermod @ibmpc • 19 november 2024 21:28

Nee LAPS heeft hier geen rol in gezien er niet met het local admin account wordt gewerkt en dat is precies wat je met LAPS managed. De oplossing zoals Microsoft deze voor ogen heeft staat daar helemaal los van zoals je in het artikel hier en in de bron kan lezen.

Zo wordt in ieder geval al WHFB genoemd.

Ook dat wordt niet genoemd. Microsoft meldt Windows Hello wat niet exact hetzelfde is als WHFB (Windows Hello for Business).

[Reactie gewijzigd door Bor op 19 november 2024 21:29]

IStealYourGun @MPIU8686 • 19 november 2024 19:24

In welke zin?

renecl @MPIU8686 • 19 november 2024 19:52

Dat is meteen de volgende stap idd

fRiEtJeSaTe @MPIU8686 • 20 november 2024 08:34

Jep. Volgens mij hebben we al meerdere van dit soort intiatieven gehad, allemaal met hun bijbehorende lekkages. (hallo AMT)

Sicos 19 november 2024 19:08

Dus lekker jezelf eenmaling met full admin right jezelf local admin maken?

Blokker_1999

Microsoft Windows
Microsoft

@Sicos • 19 november 2024 19:30

Dat is uiteraard net niet de bedoeling. Vooreerst gaat het hier om systemen voor onder meer thuisgebruikers, waar je zelf gewoon je systeem beheerd. Maar vele mensen blijven het eerste account gebruiken waarmee de PC is opgezet, en dat account is standaard een beheerder op de PC.

Het doel is dus om van die gebruiker in de toekomst een standaard gebruiker te maken, de gebruiker moet dan ook Windows Hello activeren en als dat eenmaal geactiveerd is dan kan de gebruiker taken die als beheerder uitgevoerd moeten worden onder zijn eigen account uitvoeren waarbij dat specifieke process admin rechten krijgt.

De technologie hiervoor zit ondertussen al weer even in Windows en wordt in bedrijfsomgevingen reeds gebruikt voor bijv. EPM (onderdeel van Intune Suite) waarmee je als admin een gebruiker de mogelijkheid kunt geven om specifieke applicaties als admin te starten ondanks dat de gebruiker zelf dus nooit admin rechten heeft.

Bor Coördinator Frontpage Admins / FP Powermod @Blokker_1999 • 19 november 2024 20:36

Vooreerst gaat het hier om systemen voor onder meer thuisgebruikers, waar je zelf gewoon je systeem beheerd.

Is dat zo? Het blog artikel heet waarschijnlijk niet voor niets:

Windows security and resiliency: Protecting your business

Ik lees nergens dat dit onder meer of vooral voor thuisgebruikers is (en die zouden ook niet met local admin rechten moeten werken). In Windows 11 werk je by default niet met local admin rechten.

Blokker_1999

Microsoft Windows
Microsoft

@Bor • 19 november 2024 21:05

Wanneer we naar de zakelijke kant kijken, dan kijken we vaak naar grotere bedrijven, waar gebruikers nog zelden zelf admin mogen zijn, waar PCs in een domein zitten en je oplossingen hebt zoals LAPS terwijl gebruikers bijvoorbeeld Windows Hello for Business gaan gebruiken ipv Windows Hello zoals in de blogpost staat.

Kleine bedrijven die dat allemaal niet hebben kunnen hier uiteraard ook hun voordeel mee doen.

Bor Coördinator Frontpage Admins / FP Powermod @Blokker_1999 • 19 november 2024 21:27

LAPS managed nog steeds het local admin account en dat is waar het hier specifiek niet om gaat geeft Microsoft aan. Gezien de zakelijke blog waar deze functie in wordt genoemd ligt het voor de hand dat het tenminste ook naar zakelijke omgevingen komt. In releases over consumenten omgevingen kom ik geen enkele melding tegen.

Gwaihir @Blokker_1999 • 19 november 2024 20:23

dat account is standaard een beheerder, dat klopt. Ik beheer toch ook m'n eigen pc? Maar als ik een beheerders-handeling wil verrichten, moet ik dat altijd specifiek bevestigen. Is dat momenteel te omzeilen dan, voor malware? En zo ja, volstaat het dichten van dat gat dan niet?

Zoals je het hier neerzet, klinkt het nogal als een smoes om Windows Hello aan de thuisgebruiker op te dringen..

[Oh, ik verwar 'Hello' geloof ik met 'n MS account moeten gebruiken, maar het is niet 100% gekoppeld. De manier waarop dat externe account (bijna) opgedrongen wordt staat me tegen.

Een aanvaller die je credentials niet heeft dus, en dus doodloopt op een herauthenticatie. En dan gebruik ik inderdaad graag effe snel m'n vingerafdruk.]

[Reactie gewijzigd door Gwaihir op 20 november 2024 12:00]

Blokker_1999

Microsoft Windows
Microsoft

@Gwaihir • 19 november 2024 21:02

Ja, je bevestigd dat, maar zonder dat je je moet authenticeren. En dat is nu net het probleem. Een aanvaller die je credentials heeft kan dus ook gewoon alles wijzigen met die credentials.

Door je account een standaard user account te maken en admin acties achter Windows Hello te verbergen kan een aanvaller die je credentials heeft niet langer misbruik maken van die credentials. De aanvaller moet dan namelijk een manier gaan vinden om alsnog via Hello te authenticeren, wat bijna onmogelijk is.

KeesAlderlieste 19 november 2024 22:55

problemen oplossen op een apparaat dat uit staat?

beerse 20 november 2024 10:47

Herstellen van systemen die niet meer willen opstarten na een crash. Dat kan naar mijn idee alleen maar met het recovery systeem. Het systeem dat nog wel wil opstarten als de standaard windows installatie het niet meer doet.

Dus gaan er instellingen worden doorgevoerd in deze recovery omgeving, gebaseerd op wat er in de normale omgeving ingesteld staat. En dus is/komt er een interface om de recovery omgeving aan te passen. Deze doorgang is natuurlijk ook voor de bovengemiddelde hacker interessant.

Aan de andere kant: automatisch herstellen van opstart problemen... Alles wat automatisch gaat, gaat automatisch een keer fout.

Antiloop @jpsch • 20 november 2024 08:58

Naar mijn weten wordt je vingerafdruk (hash oid) lokaal opgeslagen in de hardware van de vingerafdrukscanner

BigfootXS @Antiloop • 20 november 2024 10:01

Inderdaad, die gaan NIET naar Microsoft

Davidas @Antiloop • 20 november 2024 10:01

Klopt, alle biometrische data wordt versleuteld en lokaal opgeslagen, zwerft dus niet rond via het internet, en zodra een gebruiker Windows Hello uitschakelt wordt het ook weer verwijderd van het systeem.

jpsch @Antiloop • 20 november 2024 11:24

Bij problemen ga ik het niet doen, zet ik wel een image terug.

Bor Coördinator Frontpage Admins / FP Powermod @jpsch • 22 november 2024 08:31

Onzin, wanneer je Windows Hello gebruikt wordt je vingerafdruk of irusscan niet naar Microsoft verstuurd. Je slaat doorgaans ook geen hele vingerafdruk of irisscan op maar bepaalde kenmerken / vectoren.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (29)

Sorteer op:

Weergave: