Administrator Protection on Windows 11

Introductie

In deze blogpost gaan we het hebben over de functie in Windows 11 genaamd Administrator Protection. Deze nieuwe functie is ontworpen om de beveiliging van Windows 11 te versterken door ervoor te zorgen dat gebruikers met beheers rechten een additionele melding voor authenticatie te geven in vorm van Windows Hello for Business.

Zoals we weten geeft beheers rechten ons de mogelijkheid om systeemwijzigingen aan te brengen, software te installeren en instellingen te wijzigen. Hoewel deze mogelijkheden essentieel zijn, zijn ze ook een veelvoorkomend doelwit voor aanvallers die ze misbruiken om de beveiliging te compromitteren. Recente gegevens uit het Microsoft Digital Defense Report 2024 benadrukken dit probleem, met een geschat aantal van 39.000 token-diefstalincidenten per dag.

Met de komst van Administrator Protection op Windows 11 wordt er een additionele laag van beveiliging toegevoegd waarbij de gebruiker wordt verplicht om administratieve taken te verifiëren via Windows Hello voordat acties kunnen worden uitgevoerd op beheerdersniveau. Deze acties omvatten:

• Het installeren van software

• Het wijzigen van systeeminstellingen, zoals tijd of registry instellingen

• Toegang tot gevoelige gegevens

De extra laag van authenticatie helpt het risico op onbedoelde of kwaadaardige wijzigingen aan Windows te verminderen, waardoor zowel gebruikers als organisaties beter beschermd zijn! Door gebruiksvriendelijkheid te combineren met verbeterde beveiliging, is Administrator Protection een belangrijke stap vooruit in het beveiligen van Windows 11-apparaten en het waarborgen van een robuuste digitale omgeving voor iedereen.

Basisprincipes

In de basis is Administrator Protection gebaseerd op het least privileged model. Dit wil inhouden dat zodra een gebruiker inlogt op Windows er een token wordt uitgegeven met beperkte rechten. Zodra er beheers rechten nodig zijn, vraagt Windows (zoals weergegeven in de print screen) om de betreffende administratieve actie, te autoriseren. Wanneer de actie is geautoriseerd, maakt Windows een geïsoleerde beheerders-token aan met behulp van een verborgen, gebruikersaccount. Deze token wordt toegewezen aan het proces dat de actie vereist en wordt verwijderd zodra het proces is voltooid. Hierdoor blijven beheerdersrechten nooit onnodig actief. Bij elke nieuwe administratieve taak wordt dit proces opnieuw uitgevoerd.

Architecturale kenmerken

• Integratie met Windows Hello: Administrator Protection maakt gebruik van Windows Hello voor eenvoudige en veilige autorisatie.

• Just-in-time Elevation: Gebruikers blijven standaard beperkt in hun rechten en krijgen tijdelijk beheerdersrechten, uitsluitend voor de duur van een administratieve taak. Het beheerders-token wordt na gebruik verwijderd en opnieuw aangemaakt bij een volgende taak.

• Profielscheiding: Administrator Protection gebruikt verborgen, systeemeigen, gescheiden gebruikersaccounts om geïsoleerde beheerders-tokens aan te maken. Dit voorkomt dat malware op gebruikersniveau de verhoogde sessie kan compromitteren, waardoor de beveiligingsgrens wordt versterkt.

• Geen Automatische Verhogingen: Gebruikers moeten elke administratieve actie handmatig autoriseren. Dit zorgt ervoor dat beheerders altijd de controle behouden en dat beheerdersrechten niet kunnen worden misbruikt. De integratie met Windows Hello biedt extra beveiliging en gebruiksgemak.

Administrator Protection Configureren

Administrator Protection via Microsoft Intune

Hoewel Administrator Protection ook via Group Policy Object (GPO) kan worden geconfigureerd, zullen we in eerste instantie gebruik maken van Microsoft Intune om Administrator Protection te configureren.

Configureren via Settings Catalog

Om Administrator Protection te configureren via Microsoft Intune moet er gebruik worden gemaakt van de Settings Catalog. In de Settings Catalog is het essentieel om de volgende instellingen te configureren:

1. User Account Control Behavior Of The Elevation Prompt For Administrator Protection (Windows Insider Only)

   Deze instelling moet worden ingesteld op:

   Prompt for credentials on the secure desktop
   

2. User Account Control Type Of Admin Approval Mode (Windows Insiders only) Deze instelling moet worden ingesteld op:

   Admin Approval Mode with Administrator protection.

   
   

   

Koppel dit beleid vervolgens aan het gewenste apparaat groep(en).

Administrator Protection via Group Policy Object

Mocht Administrator Protection via GPO worden geconfigureerd, dan kan dit door gebruik te maken van de Computer Configuration binnen Group Policy Management.

Instellingen aanpassen in Security Options

De volgende instellingen onder Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options moeten worden aangepast:

1. User Account Control: Configure type of Admin Approval Mode Moet worden ingesteld op:

   Admin Approval Mode with Administrator protection.
   

2. Admin Approval Mode with Administrator protection

   Moet worden ingesteld op:

   Prompt for credentials on Secure Desktop.

Conclusie

Administrator Protection is een zeer gewenste functionaliteit, want hiermee krijgen we betere bewustwording van alle Administratieve taken. Echter in mijn test moet er wel rekening worden gehouden dat deze functionaliteit enkel functioneel is met de Windows Insider build Canary Channel nummer 10.0.27749.1000. Hoewel de instellingen netjes worden doorgevoerd op de december build 26100.2605 werkt het helaas niet. Het is dus nog helaas even wachten voordat deze nieuwe oplossing beschikbaar is om breed te worden doorgevoerd.

Hiernaast heb ik in de wandelgangen gehoord dat Administrator Protection niet goed functioneert als er gebruik wordt gemaakt van Endpoint Privilege Management. Dit kan ik helaas niet testen maar weten we dat deze oplossing nog in ontwikkeling is.

Resources

Administrator protection on Windows 11 | Microsoft Community Hub