Microsoft wil securityproducten alleen via drivers kerneltoegang geven

Microsoft staat op het punt een preview van Windows vrij te geven waarbij antivirus- en edr-software buiten de kernel werken. Het bedrijf wil dat al langer, met name na de grote storing in CrowdStrike van een jaar geleden en heeft daarvoor met securitybedrijven samengewerkt.

Dat zegt David Weston, vicepresident van de enterprise-securityafdeling van Microsoft, in een interview met The Verge. Weston zegt in dat interview dat Microsoft klaar is om een gesloten preview van zo'n Windows-versie vrij te geven, al zegt hij niet wanneer dat precies moet gebeuren. In de preview krijgen zowel antivirussoftware en endpoint detection and response-tools geen directe toegang meer tot de Windows-kernel. In plaats daarvan kunnen ze die kernel via drivers aanspreken.

Dat proces is het gevolg van de grote, wereldwijde CrowdStrike-storing van vorig jaar. In de zomer van 2024 kregen wereldwijd honderdduizenden Windows-pc's last van blue screens of death, wat het gevolg bleek van een bug in securitytool CrowdStrike. Omdat deze tool zulke diepgaande toegang heeft en op kernelniveau draait, kan een probleem met zo'n securitytool problemen veroorzaken op grote aantallen pc's.

Na dat incident is Microsoft om tafel gegaan met securitybedrijven om te praten over een oplossing. Het bedrijf organiseerde een maand na het incident een conferentie met beveiligings- en ict-bedrijven. Ook voor de nieuwe Windows-versie heeft het bedrijf nu nauw samengewerkt met onder andere CrowdStrike, maar ook met andere beveiligingsbedrijven. Weston zegt tegen The Verge dat het onderzoekspapers heeft ontvangen van bedrijven die uitleggen wat ze nodig zouden hebben voor zo'n nieuw systeem. Microsoft zegt daarbij vooral met de bedrijven samen te willen werken, en hen niet alleen maar nieuwe regels op te leggen. Het bedrijf zei vorig jaar al dat het met drivers zou willen werken als alternatief voor directe kerneltoegang.

Het gaat aanvankelijk om antivirus- en edr-software, maar Weston zegt dat er in de toekomst mogelijk ook andere toepassingen kunnen komen die via drivers op kernelniveau kunnen werken. Hij noemt dan bijvoorbeeld anticheatengines in games, al zou het ontwikkelen daarvan moeilijker zijn omdat valsspelende gamers juist kernelcheats gebruiken en dus op een andere manier moeten worden tegengegaan. Microsoft zegt dat het ook met gameontwikkelaars wil samenwerken om kernellevel-anticheatdrivers te maken.

Verder zou Microsoft nog deze zomer een tool willen uitbrengen waarbij machines in een zogeheten 'Quick Machine Recovery'-modus terechtkomen. Daarmee moet het mogelijk zijn Windows-machines in de Herstelomgeving te krijgen, waarbij ze diagnostische informatie naar Microsoft kunnen sturen.

Reacties (98)

mloman 27 juni 2025 12:09

Dit artikel klopt niet; het is juist andersom. Microsoft is actief bezig met het weren van third-party kerneldrivers in Windows via het nieuwe Windows Resilient Security Platform, dat in de tweede helft van dit jaar beschikbaar komt voor beveiligingsbedrijven. Microsoft introduceert nieuwe gebruikersmodus-API’s, zodat antivirus-, EDR- en anti-cheatoplossingen kunnen functioneren zonder — of met minimale — toegang tot de kernel. Meer daarover vind je hier – met een korte toelichting op het CrowdStrike-incident en de reactie van Microsoft, verwoord door David Weston van het OS Security-team (vanaf 15 seconden): YouTube: ByteJams Ranger running as an app in user mode

mjtdevries @mloman • 27 juni 2025 14:27

Je hebt gelijk: In het interview waar in het artikel naar verwezen word staat inderdaad dat David Weston wil dat er minder in de kernel gedraaid word, en dat betekent minder kerneldrivers.
Hij geeft specifiek aan dat voorlopig er nog wel kerneldrivers zullen blijven, maar dat ze daar vanaf willen.

The faulty CrowdStrike update last year highlighted just how easy it is for a kernel-level driver to go wrong and take down a machine, resulting in a Blue Screen of Death (BSOD).

Kernel-drivers is dus de huidige werkwijze.

Our goal is to start with AV and EDR, but there will likely be kernel drivers for some period as we move on to the next set of use cases.”

fuzzyIon @mloman • 27 juni 2025 15:04

Bedankt voor de link!

Blorgg 27 juni 2025 09:16

Hij noemt dan bijvoorbeeld anticheat-engines in games, al zou het ontwikkelen daarvan moeilijker zijn omdat valsspelende gamers juist kernelcheats gebruiken en dus op een andere manier moeten worden tegengegaan.

Cheaten via kernelcheats is al jaren achterhaald. Tegenwoordig stream je een deel van je scherm rond je cursor naar een Raspberry pi, Arduino of ander SBC bordje. Streaming software zoals OBS wordt niet gezien als iets voor cheaten en is dus vrij veilig voor cheaters. Op de SBC draait vervolgens een stukje software die tegenstanders detecteert in de buurt van je cursor. Als jij vervolgens begint te schieten zal de SBC via USB jouw controls bijsturen om je cursor op de tegenstander te plaatsen.

Een andere manier is dat je een SBC bordje via USB aansluit en daar een deel van je scherm heen streamt. Deze methode werkt min of meer hetzelfde maar heeft als extra risico dat je een extra USB device hebt welke mogelijk gedetecteerd kan worden, ook als je hem spoofed als zijnde een muis.

Dit is dan ook de reden dat het hele "Linux is voor cheaters" complete onzin is. Cheaten is nog nooit zo makkelijk geweest als nu. En omdat mensen blind vertrouwen op de draconische kernel level anti-cheat denken "slachtoffers" van cheaters vaak dat de cheaters gewoon zo goed zijn.

De belangrijkste reden voor kernel level anti-cheat is naar mijn mening dat game ontwikkelaars tegen hun klanten kunnen zeggen: "Zie je wel? We doen ons best om cheaten aan te pakken." Maar in werkelijkheid vissen ze achter het net en stellen ze iedereen bloot aan de veiligheidsissues in hun software. Want denk even na. Hoeveel bug fixes krijgen games? Zou de kernel level anti-cheat die toegang heeft tot je hele PC beter in elkaar steken, denk je? Is een kwestie van vertrouwen natuurlijk. Maar een uitgever (2K, EA, Ubisoft, Activision, etc) heeft niet de reputatie van bijvoorbeeld een anti-virus bedrijf als het aankomt op vertrouwen en integriteit van hun software. En zelfs dan nog kan het gruwelijk mis gaan zoals in dit artikel ook wordt aangehaald met het CrowdStrike gebeuren.

Hier een filmpje die e.e.a. uitlegt over boven genoemde cheat methodes:
YouTube: Hacking into Kernel Anti-Cheats: How cheaters bypass Faceit, ESEA and Vanguard anti-cheats

Puddi Puddin @Blorgg • 27 juni 2025 10:59

Ik ben zelf geen fan van kernel-level anti-cheats, maar ik ervaar ook waarom het onvermijdelijk is.

Neem nu de nieuwe game Broken Arrow. Echt een topspel, maar het gebruikt een user-space anti-cheat. Het resultaat? Een paar dagen na de release wordt de game al geteisterd door cheaters die ongelimiteerd wapens spawnen. Natuurlijk is er logging en zullen deze spelers uiteindelijk wel een ban krijgen, maar de drempel om te cheaten is lachwekkend laag. Op de forums wordt al opgeschept dat cheats als ESP onzichtbaar zijn, wat de game compleet verpest.

Dit is precies waar een kernel-level anti-cheat het verschil maakt. Ja, het is ingrijpender op je systeem, maar het maakt cheaten niet onmogelijk, maar wel een stuk moeilijker en duurder.

Natuurlijk, de hardcore cheaters stappen over op geavanceerde methodes zoals DMA-kaarten. Maar laten we eerlijk zijn, de drempel daarvoor ligt véél hoger. Je hebt niet alleen een snelle DMA-kaart nodig, maar ook custom firmware, een tweede pc en hardware om je invoer te onderscheppen. Dan praat je niet meer over een paar tientjes per maand, maar over honderden euro's aan aanschafkosten, plus flink hogere maandelijkse lasten. Op den duur word je toch gepakt, zeker bij games als Rust, waarbij je ook nog eens de reputatie verliest van je account, waardoor opnieuw beginnen met cheaten lastig is. Er is een anticheat op statistieken aanwezig, die kijkt naar de 'learningcurve' van de spelerbase. Ga je zero to hero dan wordt er een flaggetje geplant en samen met andere activiteiten volgt er dan een score die bepaalt of je een tijdelijke al dan niet definitieve ban krijgt, waarna onderzoek volgt.

Voor de gemiddelde "casual cheater" is die stap veel te groot, en dat is precies wat je wilt bereiken: de grote massa cheaters buiten de deur houden, zodat de game voor de rest van ons speelbaar blijft.

Blorgg @Puddi Puddin • 27 juni 2025 11:24

Dit is precies waar een kernel-level anti-cheat het verschil maakt.

Veel cheaters gebruiken nog Windows 10 omdat die geen secure boot vereist. Maar ook met gecrackte Windows 11 versies kan dit tegenwoordig. Hierdoor kun je via EFI je eigen driver laden voordat Windows boot en staat je kernel-level anti-cheat geheel buitenspel.

Uiteindelijk kunnen deze cheaters wel gedetecteerd worden, maar dit kost vrij veel tijd en moeite. Ondertussen doen ze hun ding en als ze een ban krijgen maken ze gewoon een nieuw account en installeren ze een nieuwe versie van de cheat software waarna de cyclus opnieuw begint.

Puddi Puddin @Blorgg • 27 juni 2025 12:16

Het is wel iets complexer dan dit: het laden van een eigen driver voordat Windows boot zet een kernel-level anticheat niet geheel buitenspel. Het maakt het wel lastiger, maar verre van onmogelijk. De driver moet immers interacteren met de game en dat gaat vaak via andere drivers en programma's die uitgebuit worden. De driver aan zich onzichtbaar maken voor een anticheat is niet genoeg. Zo was het hijacken van de Discord-overlay om een cheatmenu te laden een populaire en veilige optie. Iedereen gebruikt Discord en de overlay was populair. Voor anticheatmakers was het een enorm risico om legitieme spelers en cheaters op dit punt te onderscheiden. Waarbij samenwerking vereist was met Discord om dit op te kunnen lossen. Elke interactie creëert een detectiepunt, waar een anticheat weer op inspeelt. De website https://secret.club heeft hier een aantal diepgaande artikelen over. Het is echt ontzettend zware materie en dat legt de drempel ook hoog voor cheatontwikkelaars, waardoor er een prijskaartje aan hangt. Er zijn maar weinig publieke cheats die langer dan een jaar volledig onder de radar blijven bij populaire games die o.a. Vanguard en EasyAntiCheat gebruiken.

Je ziet nu dus de verschuiving naar DMA-cheats; een PCIe-kaart flashen zodat het een wifi / recorder kaart lijkt is vele malen makkelijker. Er zijn maar beperkte mogelijkheden om dit als anticheat te detecteren. Je omzeilt hier feitelijk de gehele computer mee. Je zet een kastje tussen je muis, toetsenbord en scherm en die voorziet de overlay en inputacties en dan heb je min of meer vrij spel als het om de anticheat zelf gaat. Natuurlijk kan je nog steeds gerapporteerd worden en kan een anticheat die puur op statistieken van de gehele playerbase werkt afwijkingen detecteren.

De game Broken Arrow is eigenlijk het perfecte voorbeeld waarom je momenteel niet zonder fatsoenlijke kernel-level anticheat kan.

Insectiside @Puddi Puddin • 27 juni 2025 14:17

het laden van een eigen driver voordat Windows boot zet een kernel-level anticheat niet geheel buitenspel. Het maakt het wel lastiger, maar verre van onmogelijk.

Secure Boot levert enkel Microsoft's gesigneerde bootloaders en drivers aan tijdens boot
TPM detecteert wijzigingen in de bootchain (als bootloader wijzigt)
Windows 11 vereist TPM 2.0 en Secure Boot ingeschakeld bij installatie (geen verplichting voor Windows 10)
HVCI (Memory Integrity) is doorgaans op nieuwere hardware actief
VBS (Virtualization-based Security standaard actief op W11)
Striktere kernel driver vereisten sedert W11

De combinatie van Windows 11 met Secure Boot + TPM en VBS/HVCI is in principe echt wel de veiligere keuze ten opzichte van Windows 10. Dat neemt niet weg dat inderdaad de aandacht bij de cheat-ontwikkelaars verschuift naar weer andere mogelijkheden (DMA cheats, hardware-based)

haagsepracht @Blorgg • 27 juni 2025 09:47

Wauw interessant dat het hedendaagse cheaten er zo aan toe gaat. Ik hoop dat deze ontwikkeling uiteindelijk positief gaat uitpakken voor Linux gaming. Nu is het niet mogelijk om een aantal toffe spellen te spelen op m'n Linux devices vanwege de kernel level anti-cheat in Windows games én Proton hier niet mee om kan gaan.

Some12 @haagsepracht • 27 juni 2025 17:38

Zoals wat? Ik heb toch echt wel een aantal moderne anti-cheat runtimes op Steam voorbij zien komen.

haagsepracht @Some12 • 27 juni 2025 18:12

GTA V online als belangrijkste voorbeeld, maar bijvoorbeeld ook League of Legends.

Some12 @haagsepracht • 28 juni 2025 06:30

GTA V Online gebruikt BattleEye. Steam op Linux heeft een BattleEye proton anti-cheat runtime, maar ik weet niet of dat al met GTA V online specifiek werkt:
https://steamdb.info/app/1161040/info/

Leage of Legends gebruikt Vanguard. Daarvoor heb ik nog niets langs zien komen.

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@Blorgg • 27 juni 2025 10:03

Bijsturen via nephardware is een ding, maar aimbots zijn niet de enige manier van cheaten. Wallhacks en andere netwerkverkeeranalyse houdt je wel tegen door geen cheatsoftware op je apparaat te laten draaien.

Eerlijk gezegd heb ik minder vetrouwen in Norton dan ik in EA heb. De antivirusmarkt is compleet verziekt door massa-opkopen. De enterprise-antimalware is nog acceptabel, maar de spyware die je als consument binnenhengelt na het betalen van veel te veel geld? Ik ben blij dat Windows Defender er is, want ik ken geen enkel goed alternatief dat ik mijn familie zou moeten aanraden.

Crowdstrike ga je niet nadoen met kernel-level anticheat omdat de PC's van gamers in de meeste gevallen een stuk minder belangrijk zijn dan wat je met Crowdstrike beschermt. Tenzij je professioneel gamet op de PC van je baas, is de impact minimaal vergeleken met wat Crowdstrike voor elkaar kreeg. Aardig kut voor gamers die een tooltje moeten downloaden naar een USB-stick, maar geen "24/7 een week lang ICT'ers het veld in sturen om billboards in vliegveldhallen te rebooten" storing.

Some12 @GertMenkel • 27 juni 2025 17:39

Windows is spyware.

keranoz

@Blorgg • 27 juni 2025 10:58

De kernel level anti-cheat zit vask niet bij de game in maar is een losse applicatie van de uitgever. Bijvoorbeeld dus waar je zelf naar linkt (in ieder geval Riot Vanguard) en Easy Anti-cheat van Epic Games.

invicta @Blorgg • 27 juni 2025 17:17

Het gros van de cheaters gebruikt nog steeds gewoon software cheats ipv hardware cheats dus kernelcheats achterhaald noemen en suggeren dat we kunnen stoppen met verbetere van kernel level anti-cheat is nogal kortzichtig.

Nl-jeff 27 juni 2025 08:19

Ben benieuwd of microsoft de apple kant op gaat, en de core van hun os versleuteld, en av boeren toegang geeft tot de gewenste data via api..

ShadLink @Nl-jeff • 27 juni 2025 10:18

Opzich zou Windows gewoon op een beveiligde partitie moeten installeren die enkel door de Windows installer geschreven kan worden. (Windows installer is dan geen onderdeel van de Windows omgeving zélf) Dit betekent dat je voor elke (serie aan) update(s) je je pc moet herstarten, maar dit is vaak al zo. Alle applicaties komen dan op een Applicatie-partitie die wel beschrijfbaar is en de documenten ed. op een documenten partitie waar je per app / map toegang kan bepalen. (privacy)

IMHO zou het Windows een stuk veiliger en stabieler maken. Drivers van plug-and-play of USB apparaten leven dan op applicatie niveau.

Dus bv:
C:\ = Windows ( besturingssysteem, kernel, kernel drivers en standaard applicaties zoals Verkenner, command promt en notepad)
E:\ = Applicaties (optionële van MS, en andere applicaties) elke app heeft een eigen zandbak.
D:\ = Documenten. Met dan D:\<User>\App Documents\<App> en D:\<User>\Personal en D:\Shared\App Documents\<App> en D:\Shared\Documents. Toegang tot \Personal is alleen met toestemming van die gebruiker. En apps kunnen niet bij \App Documents van andere apps.

en misschien G:\ = Game Libraries (Steam, ed) maar dat zou ook op E:\ kunnen.

[Reactie gewijzigd door ShadLink op 27 juni 2025 10:27]

mjtdevries @ShadLink • 27 juni 2025 11:55

En ongetwijfeld heeft Microsoft hier al lang over nagedacht.
Helaas breekt zoiets waarschijnlijk backwards compatibiliteit en word het daarom niet of maar beperkt gedaan.

Crowdstrike was een goed moment om steun (en begrip) van je klanten te krijgen om dergelijke diepgrijpende wijzigingen door te voeren.

Xander2 @ShadLink • 27 juni 2025 15:13

Je hebt nog steeds elevation nodig vanuit userspace om updates aan die beveiligde partitie neer te zetten/downloaden/aan te slingeren.

Vergelijkbare situatie met alle apps in een eigen geïsoleerde zandbak wordt wel erg lastig multitasken met de vraag of het veiliger wordt; als je op elk moment toestemming moet vragen verleg je het probleem.

Some12 @ShadLink • 27 juni 2025 17:41

Onder immutable atomic Linux distro’s heb je gewoon A/B met secure boot. Zou veel fijner zijn voor Windows…

HollowGamer @ShadLink • 29 juni 2025 23:39

Je kan ook gewoon Fedora Silverblue installeren.

HollowGamer @Nl-jeff • 27 juni 2025 08:30

Of niet.

Bij Apple doen ze het meeste zelf, maar op MS zitten nog heel veel vendors die dit regelen. Dat gaat verder dan alleen anti malware, in feite is het een soort suite met managment tools, etc.

Leuk spul, maar klote als het misgaat dus.

HollowGamer 27 juni 2025 08:16

Krijg je dan niet onder de streep hetzelfde probleem?
Naar mijn weten praat een driver op hardware niveau, m.a.w. zolang het ondertekend is door MS, kan het (ook) vrijwel overal bij. Het enige voordeel is dat een driver kan worden uitgeschakeld tijdens startup en makkelijker kan worden verwijderd.

Voor de privacy veranderd er niets. Sterker nog, ik verwacht zelfs dat malware dit fijn gaat vinden, aangezien ze dit zouden kunnen gaan misbruiken.

Wat is dan wel de beste oplossing? Geen idee, maar niet dit soort lelijke workarounds om alleen een crash op te lossen. Misschien hadden ze Windows beter kunnen ontwerpen vanaf het begin?

*Bij Linux zit het in de kernel (SELinux, Apparmor). Je zou eigenlijk verwachten dat MS dit zou opnemen daar, nu krijgen vendors vrij spel.

[Reactie gewijzigd door HollowGamer op 27 juni 2025 08:21]

The Zep Man

Beveiliging en antivirus
Microsoft Windows
Microsoft

@HollowGamer • 27 juni 2025 08:21

Krijg je dan niet onder de streep hetzelfde probleem?

Software van antimalwarebakkers gebruikt standaarddrivers van Microsoft voor interactie met de kernel. Dit kan bijvoorbeeld geïmplementeerd worden door de kernel een signed payload vanuit userspace in te laten laden, waarna Microsoft's drivers ermee aan de slag gaan. Doordat het een aparte payload betreft en geen driver zelf is de kans op crashen bij fouten in de payload kleiner mits men goede segmentering+sandboxing van uit te voeren code toepast.

Over het algemeen crashen drivers van Microsoft minder dan die van derde partijen. Dat is logisch, want wie anders kent Windows zo goed?

[Reactie gewijzigd door The Zep Man op 27 juni 2025 08:28]

HollowGamer @The Zep Man • 27 juni 2025 08:28

Het enige verschil is dat die stuff nu straks niet meer zou draaien in ring-0. Er zit een laag tussen, in feite een verkapte API.

Ik snap wat je zegt dat het beter is, maar het blijft een lelijke workaround om vendors toegang te geven tot vrijwel het hele systeem. Naar mijn weten werkt een anti malware niet zonder het hele systeem te scannen, tegenwoordig is het niet meer enkel signature checking, dus de driver doet die access nu.

Zeker veiliger en beter dan voorheen, maar nog altijd schrikbarend als je leest hoeveel nog altijd kan worden gedaan. Een anti cheat gaat daarin nog een stap verder.

The Zep Man

Beveiliging en antivirus
Microsoft Windows
Microsoft

@HollowGamer • 27 juni 2025 08:31

Zeker veiliger en beter dan voorheen, maar nog altijd schrikbarend als je leest hoeveel nog altijd kan worden gedaan. Een anti cheat gaat daarin nog een stap verder.

Potentieel kan nu juist minder worden gedaan. Microsoft's drivers kunnen geïnstrueerd worden om de payload enkel alleen-lezen rechten te geven op een beperkt deel van het geheugen. Fouten in de payload code hoeven niet te resulteren in een vastlopend systeem of kwetsbaarheden waarmee men meteen volledige ring-0 toegang heeft.

Windows is ten eerste een product voor de zakelijke wereld. Die wil een zekere mate van assurance hebben, waar een markt voor is. Deze manier van werken is vanuit een marktperspectief beter dan enkel Microsoft het recht te geven om beveiligingsproducten voor Windows te ontwikkelen.

[Reactie gewijzigd door The Zep Man op 27 juni 2025 09:19]

HollowGamer @The Zep Man • 27 juni 2025 10:51

Dat is zeker waar, en deze tool (CrowdSkrike) is ook een manager en meer in èèn dacht ik? Dus voor Enterprise snap ik het zeker.

Ik maak mij meer zorgen om de user en de privacy daarvan. Een anti-cheat gaat dan uit ring-0 en krijgt bijvoorbeeld toegang tot het geheugen. Het kan er wellicht niet naar schrijven, maar wel alles nalezen. Dit om zeker te weten dat je ook niets buiten de game draait. En dat is waar ik met deze oplossing een vraagteken bij zet.

Zou een sandbox dan niet veel beter zijn? Dit gebeurt al op consoles, en zoiets zie ik dan liever ook (meer) op Windows. Daar heb je dan geen driver voor nodig, enkel APIs.

The Zep Man

Beveiliging en antivirus
Microsoft Windows
Microsoft

@HollowGamer • 27 juni 2025 11:04

Ik maak mij meer zorgen om de user en de privacy daarvan. Een anti-cheat gaat dan uit ring-0 en krijgt bijvoorbeeld toegang tot het geheugen. Het kan er wellicht niet naar schrijven, maar wel alles nalezen. Dit om zeker te weten dat je ook niets buiten de game draait. En dat is waar ik met deze oplossing een vraagteken bij zet.

Waarom zet je daar een vraagteken bij? In de oude situatie kan anti-cheat dat ook, en veel meer.

Zou een sandbox dan niet veel beter zijn?

Een sandbox is bedoeld om zaken in de sandbox daarbinnen te houden. Je kan nog steeds zaken in de sandbox via buitenaf beïnvloeden.

Client-side anti-cheat gaat maar zover. Beeld kan realtime opgenomen worden om te analyseren door AI en daarop gebaseerd input op aan te passen. Dat herken je niet via client-side anti-cheat. Voor code op de PC blijft het een kat-en-muisspel met twijfelachtige effectiviteit.

De meeste vormen van valsspelen zijn server-side te herkennen d.m.v. statistische analyse, replays, etc., maar dat vereist investering.

[Reactie gewijzigd door The Zep Man op 27 juni 2025 11:30]

Llopigat

Microsoft
Microsoft Windows

@The Zep Man • 27 juni 2025 11:47

Client-side anti-cheat gaat maar zover. Beeld kan realtime opgenomen worden om te analyseren door AI en daarop gebaseerd input op aan te passen. Dat herken je niet via client-side anti-cheat. Voor code op de PC blijft het een kat-en-muisspel met twijfelachtige effectiviteit.

Ja en nieuwere AI's kunnen gewoon als een mens naar een scherm kijken en reageren met invoer. Dan is zelfs een camera op het scherm richten voldoende.

Deze race is niet meer te winnen door de gamedevs.

Ik speel zelf nooit meer multiplayer. Het gedoe met cheaters en bovendien de invasieve software is het me niet waard. Bovendien moest ik op de Xbox altijd iedereen muten omdat alle krijsende kinderen vreselijk irritant waren. En dan zijn team gamemodes niet meer te doen, daar moet je voor kunnen communiceren natuurlijk.

Misschien is het fenomeen gewoon niet meer haalbaar. Of, moeten we weer bij elkaar gaan zitten net zoals vroeger met de lan parties. Dat was ook een stuk leuker eigenlijk.

[Reactie gewijzigd door Llopigat op 27 juni 2025 11:50]

themadone @HollowGamer • 27 juni 2025 08:30

Denk dat ze dit vooral doen omdat na meerdere crashes drivers uitgeschakeld worden. De recovery van zo'n crowdstrike issue is dan gewoon je machine paar keer laten blue screenen en je kan weer door.

downtime @themadone • 27 juni 2025 10:12

Ik weet niet of dat zo simpel is. Voor veel organisaties geldt dat het draaien zonder zo'n security laag een onacceptabel risico is. Een PC mag niet starten tenzij die beveiligingslaag actief is. Een paar keer blue screenen en dan weer door is nu juist niet de bedoeling. Dat is prima voor de game PC bij jou thuis en voor de PC waar de bakker op de hoek zijn boekhouding op doet maar een bedrijf waar men kostbare bedrijfsgeheimen probeert te beschermen kan dat absoluut niet accepteren.

HollowGamer @downtime • 27 juni 2025 10:54

Het verschil is dat je die driver op afstand kan pushen. Je kan (gok ik) een nieuw image deployen of upgrade uitvoeren tijdens het opstarten. Je kan ook automatisch een fallback doen naar de vorige driver.

mjtdevries @HollowGamer • 27 juni 2025 11:35

Dat was ook het grote probleem bij Crowdstrike. ze hadden vrij snel een nieuwe update gepushed, maar als je PC niet meer kan starten dan kan het ook niet de nieuwe update binnen halen.

Als je een fallback had kunnen doen dan had de PC die nieuwste update binnen kunnen halen en was de impact veel lager geweest.

mjtdevries @downtime • 27 juni 2025 11:33

Je laat uiteraard niet de PC zomaar starten zonder beveiligingslaag. Maar je start 'm dan zonder netwerk verbinding. En daarmee geef je dan makkelijke opties om het OS te repareren zonder dat je grote risico's introduceert.

Een PC die totaal onbruikbaar is geworden waardoor die kostbare bedrijfsgeheimen niet meer toegankelijk zijn is ook absoluut niet acceptabel. Veel werktijd verliezen omdat de PCs onbruikbaar zijn is ook funest voor een bedrijf.

downtime @mjtdevries • 27 juni 2025 11:53

Je laat uiteraard niet de PC zomaar starten zonder beveiligingslaag. Maar je start 'm dan zonder netwerk verbinding. En daarmee geef je dan makkelijke opties om het OS te repareren zonder dat je grote risico's introduceert.

True. Dat zou een optie kunnen zijn.

Een PC die totaal onbruikbaar is geworden waardoor die kostbare bedrijfsgeheimen niet meer toegankelijk zijn is ook absoluut niet acceptabel. Veel werktijd verliezen omdat de PCs onbruikbaar zijn is ook funest voor een bedrijf.

Nou nee. Die keuze moet een bedrijf gewoon zelf maken. Sommige bedrijven vinden hun bedrijfsgeheimen zo waardevol dat ze liever een hele week, desnoods een maand, plat gaan dan enig risico op een lek accepteren. Soms is in die kennis miljarden geinvesteerd en is dat veel waardevoller dan een tijdje niet kunnen produceren.

mjtdevries @downtime • 27 juni 2025 11:57

De meeste bedrijven gaan failliet als ze een maand echt plat gaan. Vergis je daar niet in.

downtime @mjtdevries • 27 juni 2025 12:40

De meeste wel. Maar daarom moet dat een keuze zijn die het bedrijf zelf maakt. Ik kan me voorstellen dat een ASML die echt heel veel miljarden in een procede heeft geinvesteerd toch liever een maandje plat gaat als het alternatief is dat een concurrent hun technologie in handen krijgt.

themadone @downtime • 27 juni 2025 15:18

Mijn excuses, ik dacht dat iedereen wel snapte dat bij uitschakelen van drivers dus ook de netwerk drivers niet geladen worden.

Ook is het op zich wel wat overdreven om te denken dat je zonder bijvoorbeeld crowdstrike op je cliënt meteen al je data weg lekt natuurlijk.

Als je kijkt wat daar gebeurde was het duidelijk een fout bij crowdstrike verergerd door gebrek aan staging mogelijkheden voor de updates. Het kan op zo'n moment absoluut een afweging zijn om dan maar even terug te vallen op standaard Defender ipv je hele vliegveld plat.

Door de diepe kernel integratie was dat geen optie, door het nieuwe model is het makkelijker omdat er al routines zijn om zich misdragende drivers af te vangen ipv meteen met Blue screens te gaan smijten op boot.

SubSpace

@HollowGamer • 27 juni 2025 08:32

Hoezo lelijke workaround? Uiteindelijk is er een deel dat kernel-toegang nodig heeft, op deze manier kan deze toegang gereguleerd worden. Dit is niet een probleem dat met een 'beter ontwerp' - wat dat ook moge zijn - spontaan verdwijnt.

HollowGamer @SubSpace • 27 juni 2025 10:55

Het probleem is dat dit niet in de kernel zelf zit, het is een laag specifiek voor vendors.

mjtdevries @HollowGamer • 27 juni 2025 11:37

Ja, dat is juist de grote verbetering.
In ieder OS wil je niet dat vendors in de kernel zitten, want dan krijg je juist deze problemen.

Eagle Creek

@HollowGamer • 27 juni 2025 10:09

Krijg je dan niet onder de streep hetzelfde probleem?
Naar mijn weten praat een driver op hardware niveau, m.a.w. zolang het ondertekend is door MS, kan het (ook) vrijwel overal bij. Het enige voordeel is dat een driver kan worden uitgeschakeld tijdens startup en makkelijker kan worden verwijderd.

Dat valt wel mee. Drivers zullen alleen toegang hebben tot de kernel via een gestandaardiseerde en beperkte interface, vergelijkbaar met een API. Hierdoor heb je meer validatie, monitoring, eventueel blokkeren van ongewenste calls, etc. Een driver kan los worden herstart (of crashen for that matter) van het hele OS. Daarnaast kan Microsoft bepaalde functies verplichten of juist beperken en de drivers worden door Microsoft gesigned dus daar zit verder niemand tussen.

Wat ik zelf wél meer opvallend vindt is de volgende uitspraak:

Weston zegt dat er in de toekomst mogelijk ook andere toepassingen kunnen komen die via drivers op kernelniveau kunnen werken. Hij noemt dan bijvoorbeeld anticheat-engines in games, al zou het ontwikkelen daarvan moeilijker zijn omdat valsspelende gamers juist kernelcheats gebruiken en dus op een andere manier moeten worden tegengegaan.

Dit zou suggereren dat aanvallers / virusmakers géen kernel'cheats'/aanvallen gebruiken om een systeem te compromitteren. Het hij suggereert dat cheaters kerneltoegang nodig hebben, maar malware niet.

Als beveiligingssoftware geen diepe kernelhooks meer mag gebruiken, maar malware dat nog wél kan, dan ontstaat een interessante situatie..

[Reactie gewijzigd door Eagle Creek op 27 juni 2025 10:11]

HollowGamer @Eagle Creek • 27 juni 2025 10:59

Een driver sign is geen waterdichte oplossing. Ik noem maar een certificaat van Realtek dat al een paar is misbruikt door malware.

Er is in MS geen enkele manier om te verifiëren wat een driver doet, juist is. Het wordt namelijk door de vendor bepaald, wat je dus ook vaak terugziet (gelukkig minder vaak) als een vendor iets deed bij hun driver, en bij Windows Upgrade het opeens niet meer mag/werkt/crasht.

Ik had liever gezien dat MS en de vendor veel dieper zouden samenwerken, maar dit mag helaas ook niet van de markt. Als MS bijvoorbeeld die laag niet zou aanbieden, dan kunnen McAfee enzo wel inpakken.

Het model vind ik dus verkeerd, en nog altijd erg vervelend als je privacy of malware misbruik erbij neemt.

downtime @Eagle Creek • 27 juni 2025 11:10

De eigenaar van een game-pc draait meestal met admin-rechten en kan dus software installeren die in Ring 0 draait. En dat is een bewuste actie. Malware heeft het meestal niet zo makkelijk. Tenminste niet in een security-bewuste onderneming waar eindgebruikers geen admin-rechten krijgen.

mjtdevries @downtime • 27 juni 2025 11:50

Even een wilde gedachte. Waarom zou een admin 3rd party software moeten/mogen installeren die in Ring 0 draait?
Is dat noodzakelijk? Volgens mij niet.

En om te voorkomen dat iemand (ce eigenaar bv) alsnog je ring 0 corrumpeert door bestanden van de kernel aan te passen als het OS niet draait zou je de disk moeten encrypten.

(En het is natuurlijk niet voor niets dat een admin in Windows geen volledige admin rechten meer heeft)

downtime @mjtdevries • 27 juni 2025 12:37

Een hypervisor misschien? Virusscanner? Bepaalde drivers? Ik weet het niet precies. Zoveel weet ik daar nu ook niet van.

mjtdevries @downtime • 27 juni 2025 12:43

Een virusscanner hoeft dus helemaal niet, want dat is nou precies waar dit artikel over gaat

downtime @mjtdevries • 27 juni 2025 12:47

Correctie: Hoeft dat straks niet meer. Nu nog wel.

mjtdevries @downtime • 27 juni 2025 14:13

Mijn wilde gedachte ging over een fictief volgende windows versie waar je geen 3rd party software meer in ring 0 installeert.
Dat zou ontzettend veel problemen oplossen.
Nou weet ik dat in het verleden de graphics stack in user werd gedraaid ipv kernel/ring 0 vanwege prestatie redenen.
Ik weet niet of er tegenwoordig nog werkelijk zwaarwegende redenen zijn om dingen in ring 0 te draaien, of dat we dat alleen nog maar doen vanwege backwards compatibility. (en gemakzucht)

downtime @mjtdevries • 27 juni 2025 14:20

Performance kan nog steeds een reden zijn. Het is een belangrijke reden waarom microkernel architecturen het niet gered hebben. Ze hebben nog geen manier kunnen vinden om een belangrijk deel van het OS buiten Ring 0 te houden en toch goede performance te krijgen.

leuk_he @HollowGamer • 27 juni 2025 12:31

Het probleem is hetzelfde, de driver kan overal iets kapot maken. En de api check parameters niet zo uitgebreid dat

De oplossing, de driver deactiveren in een recovery methode is opeens wel universeel ipv dat dat per tool anders geregeld is.

Sito 27 juni 2025 09:10

Microsoft zegt dat het ook met gameontwikkelaars wil samenwerken om kernellevelanticheatdrivers te maken.

Nee, kap daar gewoon mee. Anti-cheat hoort niet in de kernel te draaien.

Blokker_1999

Crowdstrike
Microsoft Windows
Microsoft
Beveiliging en antivirus

@Sito • 27 juni 2025 09:17

En cheaten hoort ook niet, maar toch blijft men het doen.

Sito @Blokker_1999 • 27 juni 2025 09:37

Eens. Maar dat vind ik nog steeds geen excuus om, in veel gevallen, halfgare anti-cheat in de kernel te draaien.

Daarnaast omzeilen cheats steeds vaker anti-cheat in de kernel, zie deze reactie op een artikel over anti-cheat in de kernel. Anti-cheat moet tegenwoordig gewoon anders. Niet (te veel) leunen op de clients en meer op de server afvangen. Dat kan prima met de rekenkracht die we tegenwoordig hebben op servers.

Kaasje123 @Blokker_1999 • 27 juni 2025 09:38

Ja maar dat geldt net zo goed voor malware. Ik vind anticheat toch wel echt minder belangrijk dan een echt virus

Barsonax @Blokker_1999 • 27 juni 2025 09:42

Dat heeft echt helemaal niks te maken met het probleem van kernel anti cheat.

Vind jij het prima anders dat om valsspelen in een spelletje tegen te gaan dat men je hele computer over kunnen nemen? Ff je inlogs stellen van bijv je bank. Alles om maar te voorkomen dat je vals speelt in een spelletje. Totaal proportioneel dit.

Llopigat

Microsoft
Microsoft Windows

@Barsonax • 27 juni 2025 11:52

Ja dat is iets dat eigenlijk op EU niveau verboden moet gaan worden. Dat kan zo echt niet, inderdaad.

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@Sito • 27 juni 2025 09:49

Kernel-anticheat gaat niet weg. Het is gemaakt, wordt doorontwikkeld, en zal blijven. Als Microsoft ervoor kan zorgen dat die tools niet onnodig de kernel kwetsbaar maken of doen crashen, wordt de situatie er alleen maar beter van. De meeste gamers willen geen cheaters in hun multiplayerspellen en zolang die vraag aanhoudt, zal er aanbod zijn.

De logische alternatieven voor kernel-level anticheat zijn erger (denk aan remote attestation of fysieke hardware die je via PCIe/Thunderbolt aansluit en je geheugen dan zelf maar monitort). Doe mij maar een implementatie met minimale impact van Microsoft als het kan, ik vertrouw die derde partijen voor geen meter.

Belgar @GertMenkel • 27 juni 2025 11:20

Je spreekt jezelf wel een beetje tegen. Als microsoft zegt dat ze op moeten houden met kernel level anti-cheat, dan houdt het op. Dit hebben ze al een keer eerder gedaan met de overgang op windows 7.

Bovendien zijn er WEL fatsoenlijke alternatieven (met medewerking van MS). Je zou een game bijvoorbeeld in een gesloten en encrypted container kunnen draaien. Die encryption en verificatie kun je hangen aan de TPM die toch al verplicht is vanwege windows 11. In zo'n container kun je garanderen dat er geen programma's van buitenaf de inhoud van de container kunnen beïnvloeden (zoals bijvoorbeeld cheat tools)

Het enige wat MS (en eventueel linux en whoever) daarvoor moeten doen is een secure keychain beschikbaar stellen (en natuurlijk de container infra)

Deze technologie bestaat al en is wat het mogelijk maakt om datacenters te hebben waar VM's en containers van verschillende partijen op een enkele server kunnen draaien.

Llopigat

Microsoft
Microsoft Windows

@GertMenkel • 27 juni 2025 11:53

Kernel-anticheat gaat niet weg. Het is gemaakt, wordt doorontwikkeld, en zal blijven. Als Microsoft ervoor kan zorgen dat die tools niet onnodig de kernel kwetsbaar maken of doen crashen, wordt de situatie er alleen maar beter van. De meeste gamers willen geen cheaters in hun multiplayerspellen en zolang die vraag aanhoudt, zal er aanbod zijn.

Natuurlijk gaat het wel een keer weg. Het OS veranderd, wordt dichtgetimmerd, en wellicht komen er eisen vanuit de overheid, bijvoorbeeld de EU dat zulke zware ingrepen in het systeem niet meer mogen.

Gu357 @Sito • 27 juni 2025 09:57

Dit is best een lastig onderwerp. Ik begrijp waarom anti-cheat op kernel-niveau nodig kan zijn, maar ik zou liever zien dat er alternatieven onderzocht worden. Denk bijvoorbeeld aan het isoleren van toepassingen of het aanbieden van streaming als optie. Wat mij betreft zou het ideaal zijn als er meer keuzevrijheid is - zowel voor de gebruiker als voor de ontwikkelaar. Laat de speler zelf beslissen of hij anti-cheat wil installeren, en laat de game vervolgens bepalen welke functies wel of niet beschikbaar zijn zonder die installatie.

Hobbit13 @Sito • 27 juni 2025 10:06

Mee eens, ik ken bv collega's die best fancy spellen op hun werklaptop spelen. M'n werkgever heeft er geen probleem mee als mensen hun werklaptop ook prive gebruiken (en daar ben ik het binnen redelijke grenzen mee eens), maar anti-cheat meuk geeft toch wel flinke security risico's, die eigenlijk niet acceptabel zijn. En nagenoeg niemand is zich ervan bewust dat spelletjesfabrikanten met letterlijk alles mee kunnen lezen.

sOid 27 juni 2025 08:13

Ik ben benieuwd wat dit voor mogelijke kwetsbaarheden met zich meebrengt. Heeft iemand hier de expertise om daar wat over te roepen?

bzzzt @sOid • 27 juni 2025 08:44

Dit vermindert juist de kwetsbaarheid omdat AV software met minder rechten kan draaien.
Daarnaast vertrouw ik Microsoft eigenlijk meer als het aankomt op het bouwen van een veilige Windows driver dan een willekeurige AV bouwer. Veel van die producten zitten echt beroerd in elkaar.

sOid @bzzzt • 27 juni 2025 09:11

Ik bedoel meer: voegen ze op deze manier niet juist een extra laag toe (de drivers) waar een kwetsbaarheid in kan zitten?

Of was er altijd al sprake van drivers maar dan door makers van AV software? Dat volg ik niet helemaal.

Lord Anubis @sOid • 27 juni 2025 09:27

Eventuele kwetsbaarheden zijn in dat geval beperkt tot de eigen rechten en de toegewezen app /driver ruimte. Dit lijkt op het model dat Apple heeft. De overige processen of subsystemen blijven hierdoor onaangetast functioneren. systeemintegriteit blijft gewaarborgd

sOid @Lord Anubis • 27 juni 2025 09:51

Helder, dank!

Honytawk @sOid • 27 juni 2025 09:25

Die driver laag bestaat toch al decennia?
Nu pakken ze de kernel laag weg, dus juist minder mogelijkheid om aan te vallen.

bzzzt @sOid • 27 juni 2025 09:54

Of was er altijd al sprake van drivers maar dan door makers van AV software? Dat volg ik niet helemaal.

Dat moet wel omdat AV software op kernel niveau dingen moet afvangen (denk bijvoorbeeld aan het on-demand scannen van bestanden die je opent).

SuperDre @bzzzt • 27 juni 2025 23:14

Maar het is juist de AV bouwer die de driver moet gaan schrijven, niet microsoft.

bzzzt @SuperDre • 28 juni 2025 09:46

De OS bouwen is primair verantwoordelijk voor de veiligheid van het OS.

AV bedrijven installeren soms vage hacks om “mee te luisteren” die in sommige gevallen andere veiligheidsvoorzieningen afzwakken. Het zal niet de eerste keer zijn dat een virusscanner een exploit mogelijk maakt. IMO zijn dit soort tools voor 90% security theater. De ingrbouwde antivirus in je OS is voor de meeste mensen voldoende.

GertMenkel

Beveiliging en antivirus
Microsoft Windows
Microsoft

@sOid • 27 juni 2025 09:45

In theorie zou je een probleem kunnen krijgen als iemand een codepad door de kernel heen vindt die niet door de drivers wordt afgeroepen. Aan de andere kant wordt zo'n beetje elke bestand tijdens het downloaden al door antivirus heen gegooid dus vraag ik me af of er veel impact is in de praktijk.

Het grootste risico zit hem denk ik in software die de Windows-kernel patcht als onderdeel van bijvoorbeeld 0day mitigation, of voor systemen die oude Windows-versies zelf patchen omdat Microsoft de updates heeft opgegeven. Zo zijn er bedrijven als 0patch die nog steeds Windows 7 patchen, dat zal voor Windows 11 straks niet zomaar meer lukken.

Mits Microsoft zijn driverinterface eerlijk ontwikkelt (dat wil zeggen, mits Windows Defender aan dezelfde API's onderhevig is als software van derde partijen), denk ik dat de afweging de moeite waard is.

Blokker_1999

Crowdstrike
Microsoft Windows
Microsoft
Beveiliging en antivirus

27 juni 2025 09:24

Benieuwd of men dit nog in Windows 11 gaat introduceren, of dat dit 1 van de verbeteringen wordt voor Windows 12.

EraYaN @Blokker_1999 • 27 juni 2025 09:37

Dit zal gewoon Win11 worden denk ik, de tijdsdruk is te hoog. Kan gewoon in een feature update mee, en als je zeg 80 of 90% van de vendors in gesprek hebt kan dat prima gecoördineerd gaan, helemaal omdat het allemaal enterprise software is. Die kunnen dit gewoon netjes regelen en uitrollen.

downtime @EraYaN • 27 juni 2025 10:29

Ze kunnen het optioneel maken. Microsoft heeft wel vaker security features in Windows geintroduceerd die pas veel later default aangezet werden. Op die manier kan Microsoft de functionaliteit alvast uitrollen en het aan de professionals overlaten om te beslissen wanneer hun software up-to-date is en met die feature om kan gaan.

D11 27 juni 2025 09:52

Zolang er maar een gelijk speelveld blijft en Microsoft met zijn beveiligingsproducten niet meer kan dan de concurrenten (dus wel in kernel-space draaien), maakt mij het niet uit hoe ze het oplossen (ervan uitgaande dat de veiligheid niet minder wordt).

Nl-jeff @D11 • 27 juni 2025 10:36

Dat zie je nu bij apple ook, het gelijke speelveld, waarbij het voor Mij als evaluator van een security product nu aan komt op wat doen die producten met de data die ze krijgen van het os. Bv defender en jamf protect doen in de basis het zelfde qua bescherming alleen de datapresentatie en alerting is aanzienlijk anders.

Interessante tijden

Silence 27 juni 2025 09:47

Zal dit dan ook cheat software voor games tegen gaan die via kernel draaien om "hidden" te blijven voor anticheat software?

Zou ook mooi zijn

downtime @Silence • 27 juni 2025 10:30

Had je nou het artikel maar gelezen, dan had je het niet hoeven vragen.

derton @Silence • 27 juni 2025 10:32

Zelfs als Microsoft EDR/AV uit de kernel zet, kunnen cheats kerneltoegang behouden via misbruikte certificaten, kernel exploits of VM/Hypervisor trucs.

Het is dus geen garantie.

Milenco

27 juni 2025 08:15

Voor wie het zich nog meer afvroeg: EDR staat voor Endpoint Detection and Response.

Auteur

TijsZonderH Nieuwscoördinator @Milenco • 27 juni 2025 08:16

Zoals in het artikel staat dus

readefries

@TijsZonderH • 27 juni 2025 08:18

Ha, ik had het er ook niet uitgehaald. Er zitten nog twee alinea's tussen ipv dat de afkorting erachter staat

bhartman @readefries • 27 juni 2025 08:35

Ja precies. Volgens mij is het gebruikelijk om de eerste keer de tekst voluit te schrijven met de afkorting in haakjes erachter. Jammer dat Tweakers zich hier niet aan houdt

hcQd @bhartman • 27 juni 2025 08:59

Vroeger gebruikten ze daar nog wel eens de abbr-tag voor: EDR, maar ik denk dat ze daarmee gestopt zijn omdat dat slecht werkt op mobiele browsers.

readefries

@hcQd • 27 juni 2025 09:07

Ja dat is inderdaad jammer. De Correspondent lost dit netjes op in hun artikelen, maar gewoon ABBR support op mobiel zou inderdaad fijn zijn

rjvdboon @readefries • 27 juni 2025 10:16

Misschien moet dit custom css snippet gewoon in de site css opgenomen worden? (heb het nu in mijn custom css in mijn instellingen) : Afkortingen inline tonen

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (98)

Sorteer op:

Weergave: