Microsoft test Windows 11-functie om tijdelijk adminrechten te krijgen via Hello

Microsoft heeft een testversie van Windows 11 uitgebracht waarin het zogenaamde Administrator Protection is toegevoegd. Daarbij kan een gebruiker met normale gebruikersrechten werken, maar adminrechten opvragen via een eenmalig token bij zaken waarvoor hogere rechten nodig zijn.

De functionaliteit zit in Insider Preview 27774 in het Canary Channel van Windows 11. In die bètaversie zit een eerste uitwerking van Administrator Protection, een functie die Microsoft in november al aankondigde. Administrator Protection is een nieuwe manier om tijdelijke adminrechten te vragen op een pc.

Met Administrator Protection kan iedere gebruiker, ook admins zelf, de beveiligingsrechten krijgen van een normale gebruiker. Als de gebruiker daarna adminrechten nodig heeft, bijvoorbeeld om software te installeren of zaken aan te passen, kan die daarvoor tijdelijk geautoriseerd worden als beheerder.

Dat gebeurt via Windows Hello. Windows maakt in dat geval een admintoken aan dat eenmalig kan worden gebruikt. Dat token wordt vernietigd nadat de taak is uitgevoerd. In tegenstelling tot het huidige systeem, waarbij een normale gebruiker een wachtwoord in kan voeren, is de toegang zo niet persistent. Dat moet het systeem volgens Microsoft beter beschermen tegen malware, die vaak eerst probeert hogere beheerdersrechten te krijgen en te behouden. Door de autorisatie via Windows Hello te laten lopen, is het volgens Microsoft bovendien moeilijker om directe kerneltoegang te krijgen, zegt Microsoft.

Windows 11 Administrator Protection

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 17-01-2025 14:55
33 • submitter: wildhagen

17-01-2025 • 14:55

33

Submitter: wildhagen

Lees meer

Windows Hello kan gebruikers niet meer inloggen met gezichtsherkenning in donker
Windows Hello kan gebruikers niet meer inloggen met gezichtsherkenning in donker Nieuws van 16 juni 2025
Microsoft verwijdert 8e tot 10e Gen Intel-chips uit W11-supportlijst voor oem’s
Microsoft verwijdert 8e tot 10e Gen Intel-chips uit W11-supportlijst voor oem’s Nieuws van 17 februari 2025
Microsoft bevestigt audioproblemen in Windows 11, brengt patch uit
Microsoft bevestigt audioproblemen in Windows 11, brengt patch uit Nieuws van 30 januari 2025
Testversie Windows 11 bevat nieuw deelmenu om bestanden te delen
Testversie Windows 11 bevat nieuw deelmenu om bestanden te delen Nieuws van 26 januari 2025
Microsoft voert updates naar Windows 11 24H2 voortaan automatisch uit
Microsoft voert updates naar Windows 11 24H2 voortaan automatisch uit Nieuws van 20 januari 2025
Microsoft werkt aan accupercentage-indicator voor taakbalk Windows 11
Microsoft werkt aan accupercentage-indicator voor taakbalk Windows 11 Nieuws van 18 januari 2025
Microsoft stopt na 14 oktober met 365-ondersteuning op Windows 10
Microsoft stopt na 14 oktober met 365-ondersteuning op Windows 10 Nieuws van 15 januari 2025
Microsoft gaat nieuwe Outlook-client geforceerd installeren op Windows 10
Microsoft gaat nieuwe Outlook-client geforceerd installeren op Windows 10 Nieuws van 12 januari 2025
Microsoft kondigt event aan voor vermoedelijke Intel Lunar Lake-Surfaces
Microsoft kondigt event aan voor vermoedelijke Intel Lunar Lake-Surfaces Nieuws van 9 januari 2025
Ex-Microsoft-designer deelt mogelijk geschrapte dynamische Windows 11-wallpapers
Ex-Microsoft-designer deelt mogelijk geschrapte dynamische Windows 11-wallpapers Nieuws van 5 januari 2025
Probleem met Windows 11-installatie via media verhindert beveiligingsupdates
Probleem met Windows 11-installatie via media verhindert beveiligingsupdates Nieuws van 26 december 2024
Microsoft test realtime vertalen van streams en videogesprekken in Windows 11
Microsoft test realtime vertalen van streams en videogesprekken in Windows 11 Nieuws van 19 december 2024
Microsoft toont twee nieuwe advertenties via notificaties in Windows 11
Microsoft toont twee nieuwe advertenties via notificaties in Windows 11 Nieuws van 19 december 2024
Meer producten en artikelen
Besturingssystemen Microsoft Windows 11

Reacties (33)

-Moderatie-faq
33
32
24
3
0
2
Wijzig sortering
GekkeRipper 17 januari 2025 15:16
Ik werk als normale gebruiker met beperkte rechten in Windows 11. Aan mijn admin account dat ook op de pc bestaat is mijn vingerafdruk gekoppeld. Als ik iets wil doen dat admin rechten nodig heeft dan vraagt Windows om credentials van de admingebruiker. Je kunt dan volstaan door je vinger op de scanner te leggen. Hij ziet dat de vinger bij de admingebruiker hoort en klaar is kees.

Dit werkt voor mij prima. Maar deze nieuwe functie klinkt wel beter.
SunnieNL @GekkeRipper17 januari 2025 15:19
Volgens mij er een verschil met de UAC. Jij omschrijft nu de UAC waarbij je eigenlijk switched naar een ander account voor de admin zaken. Dat account moet al wel bestaan.

Dit systeem werkt meer als Intune Endpoint Privilege Management. Daarbij wordt geen admin account gebruikt dat al moet bestaan op je device. Je krijgt alleen een admin token. Als je strikt kijkt in de process explorer zul je ook geen account zien staan bij het proces. Het is geen system, geen user. Er wordt een soort ghost account gemaakt met alle eigenschappen van je eigen basic user account met daarin een admin token en die wordt na afloop vernietigd. De werking daarvan staat verder uitgelegd op https://call4cloud.nl/virtual-account-epm-elevation/

[Reactie gewijzigd door SunnieNL op 17 januari 2025 15:24]

GekkeRipper @SunnieNL17 januari 2025 16:30
Klopt UAC is de term die ik vergeten was te noemen. Dus het nieuwe systeem is wel fijner. Geen los beperkt account, of admin account?, meer nodig.
0x0 @GekkeRipper18 januari 2025 02:29
Tenzij je geen gebruik maakt van Windows Hello.
Waarom moet dit nu weer een onderdeel worden van iets wat anders?
Zo word je steeds meer gepusht om dingen aan te zetten die je liever niet wil hebben.
Kuck kuch... co-pilot.
Tusk @0x018 januari 2025 09:43
Waarom zou je geen gebruik willen maken van hallo?
0x0 @Tusk18 januari 2025 19:12
Waarom wel?
mbb @0x020 januari 2025 13:54
Wat is Hello, die nieuwe naam van MSN messenger?
Hoe weet Windows Hello of je het zelf bent, of iemand anders? Zit er dan iemand van Microsoft aan de andere kant, die je (wel of niet) toestemming geeft iets op je eigen machine te installeren?
Is deze implementatie op verzoek van de FBI ofzo, zodat zij ook aan Microoft Hello toestemming kunnen vragen dingen te installeren?
FREAKJAM @SunnieNL18 januari 2025 13:31
Er is nog wel een essentieel verschil tussen de twee. Administrator Protection is voornamelijk ook bedoeld als threat protection oplossing tegen bijv. malware, waarbij EPM meer een PAM-oplossing is, gericht op least privilege op basis van JiT/JeA.

Het meest veilige is een combinatie van beiden.

[Reactie gewijzigd door FREAKJAM op 18 januari 2025 13:32]

Blokker_1999
@GekkeRipper17 januari 2025 19:15
Het belangrijkste verschil is dat deze tool het mogelijk maakt om iets onder je eigen gebruiker te installeren, wat voor sommige applicaties ook een meerwaarde kan zijn want er zijn spijtig genoeg nog altijd applicaties die er van uitgaan dat iedereen admin is op zijn/haar systeem.
wigwam @GekkeRipper18 januari 2025 09:19
Slim
fuzzyIon 17 januari 2025 15:06
Een vorm van sudo voor windows dus. Ik zou liever zien dat alleen leden van de admin groep eenmalig zon token kunnen aanvragen.

[Reactie gewijzigd door fuzzyIon op 17 januari 2025 15:08]

HansvDr @fuzzyIon17 januari 2025 15:17
Hebben ze toch al lang met Run as Administrator.

Werk als gebruiker met beperkte rechten, run as Administrator als je wat meer nodig hebt en dan vul je het wachtwoord in...
_Thanatos_ @HansvDr17 januari 2025 20:18
Er is "run as Administrator" voor Joop, maar er is geen "run as Joop" voor de admin.

Althans, niet op een handige manier.
HansvDr @_Thanatos_17 januari 2025 20:25
runas /user:GebruikerNaam "notepad.exe"
MoonRaven @_Thanatos_18 januari 2025 00:04
Shift+rechter muisknop, Run as different user.
beerse @fuzzyIon17 januari 2025 15:15
Dat is nu ook al het geval met de uac: Als je een simpel account hebt (zonder admin rechten) en er komt een uac prompt voorbij, dan kan je daar een admin account in opgeven. Hopelijk wordt het daar aan gekoppeld.
You119 @fuzzyIon17 januari 2025 15:46
Hoe zie je dat voor je? Zoals je het schrijft lijk je te bedoelen dat niet-admingroep gebruikers helemaal geen rechten kunnen opvragen.
Evengoed vraag ik me wel af hoe dit voor thuisgebruik de situatie veiliger maakt zonder het onhandig te laten zijn. Daarbij zijn de meeste mensen nu eenmaal admin op hun eigen apparaat, zonder enig idee te hebben van de schade die ze ermee aan kunnen richten. Of ze worden voor alles bang, vaak nadat het een keer mis is gegaan of door verhalen van anderen.
Als iets om rechten vraagt heeft een gebruiker meestal geen idee waarom dat is, zelfs niet als ze dit zelf actief initiëren. Het is niet intuïtief en vaak onduidelijk door alleen 'setup.exe' te laten zien, vervolgens kan zoiets werkelijk bij alles in Windows. Lijkt me dat daar meer verbeteringen in te behalen zijn dan alleen hoelang de rechten beschikbaar zijn, als ik het artikel goed heb begrepen.
fuzzyIon @You11923 januari 2025 14:58
Hoe zie je dat voor je? Zoals je het schrijft lijk je te bedoelen dat niet-admingroep gebruikers helemaal geen rechten kunnen opvragen.

Dat is bij android niet anders.
zordaz @fuzzyIon18 januari 2025 00:58
Inderdaad, daar moest ik ook meteen aan denken, en verder aan de volgende legendarische uitspraak:

'Those who don't understand Unix are condemned to reinvent it, poorly' :)
brutus0 17 januari 2025 15:01
wel veilig maar ik denk dat ze daar bij de helpdesk moeite mee gaan hebben als iemand een teamviewer instantie opent en wordt gevraagd om windows hello. mensen vinden het al lastig met ja of nee voor wijzigingen. als je een persoon met een mac help moeten ze ook 26 keer toestemming geven om het over te nemen.
;(
mr_evil08 @brutus017 januari 2025 16:02
Een beetje helpdesk gebruikt al quick assist, Teamviewer is de laatste jaren echt een drama geworden.
atthias @mr_evil0817 januari 2025 18:29
geheel eens

het is erg jammer het zo achteruit te zien gaan
mcyh @mr_evil0817 januari 2025 19:57
Wel handig dat die bij sommigen een tijd geleden nog moest updaten —nee een andere n nieuwe versie installeren— voor je hem kon gebruiken.
FPSUsername @brutus017 januari 2025 15:45
Met Anydesk kun je de gehele sessie admin privileges geven, dus zo'n probleem zal het niet zijn.
Nimja 17 januari 2025 15:05
Sudo!
beerse @Nimja17 januari 2025 15:10
Hebben ze ook (net als ssh): nieuws: Microsoft kondigt sudo voor Windows aan

Enneh, ja, als ze het netjes gedaan hebben, is het sudo en hebben ze voor halo een pam module gemaakt.

[Toegevoegd] Hopelijk komt dit als aanvulling op de huidige uac constructie en wordt het niet iets nieuws. Dat was ooit alleen maar wegklikken (als je in de goede groep zat) of een ander account opgeven (als je niet in de juiste groep zit).

[Reactie gewijzigd door beerse op 17 januari 2025 15:14]

rob3rt 17 januari 2025 16:53
Dit bestaat al, wij gebruiken dit op het werk al exact zo zoals omschreven, bij ons heet dit: beyond trust manager

Zodra je normaliter admin rechten moet ingeven komt nu een popup van de beyond trust manager en hier moet je een reden opgeven en je authentificeren met bv je windows hello account of wachtwoord.
Na de identificatie loopt je installer dan verder (met admin rechten)..

Lijkt dus exact op de methode dat hier wordt omschreven.
Blokker_1999
@rob3rt17 januari 2025 19:17
Er zijn inderdaad verschillende tools voor enterprise omgevingen die admin rechten op aanvraag kunnen toekennen en waarbij men applicaties op voorhand kan goedkeuren of waarbij de gebruiker eenmalig rechten kan vragen. MS heeft zelf vorig jaar ook deze functionaliteit in Intune geintroduceerd onder de naam "EPM - Endpoint Privilege Management".
X-DraGoN 17 januari 2025 16:57
Lijkt me ideaal als dit breed beschikbaar gaat zijn. Dat zal het hopelijk eenvoudiger maken om tijdelijke admin privileges te geven.
mr01z0 @X-DraGoN20 januari 2025 08:06
Nee, dit is niet een oplossing om tijdelijke admin rechten te geven. Het is voor Admins, dus users die al in de admin groep staan om op een veiligere manier iets te starten met admin rechten.
Franckey 17 januari 2025 17:37
Ik begrijp nog niet goed wat er anders is aan de huidige situatie waarbij je local admin kan zijn. Je voert dan, ook al ben je local admin, alles uit als standaard user en op het moment dat er meer rechten nodig zijn krijg je een UAC dialog. Wat is er beter aan dit nieuwe systeem?
Blokker_1999
@Franckey17 januari 2025 19:18
Dat je niet langer een speciaal admin account nodig hebt maar dat het met een gewone gebruikersaccount kan in combinatie met een phishing resistant authenticatie.

[Reactie gewijzigd door Blokker_1999 op 17 januari 2025 19:18]

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq