Oude apparaten beschermen niet tegen nieuwe bedreigingen

Robuuste beveiliging betekent een verschuiving van eenvoudigweg bescherming handhaven naar bestendig zijn tegen huidige en toekomstige bedreigingen. Cyberweerbaarheid is een organisatorische inspanning waar iedereen voor verantwoordelijkheid is. Organisaties hebben een geïntegreerde aanpak nodig – met beveiliging ingebouwd in elke laag, van chip tot cloud – om ervoor te zorgen dat mensen en gegevens beschermd zijn, waar ze ook werken.

Microsoft heeft Surface-apparaten ontworpen om het risico van bedreigingen van firmware, besturingssystemen en cloud toepassingen te minimaliseren. Het ‘Zero Trust’ beleid van Microsoft is vanaf het begin ingebouwd. Hiermee krijgen managers op het gebied van beveiliging en IT de geruststelling dat hun investeringen in strategieën en technologieën bestand zijn tegen de toekomst.

Oude apparaten beschermen niet tegen nieuwe bedreigingen

Microsoft Surface-apparaten zijn ontworpen om de juiste beveiliging mogelijk te maken. Waarbij elke laag door Microsoft wordt onderhouden, van de firmware tot het besturingssysteem tot de cloud. Surface-apparaten, Windows 11 en Microsoft 365** helpen organisaties weerbaar te worden met een Zero Trust-benadering van beveiliging en risicobeheer. Zonder dat dit ten koste gaat van innovatie of productiviteit. Bedrijven die gebruik maken van Surface, ervaren tot 34% minder beveiligingsincidenten, waardoor ze minder tijd kwijt zijn aan het reageren op beveiligingsincidenten.² Gebruikers van Surface-apparaten ervaren daarnaast tot 20% minder beveiligingsinbreuken.²

Eenvoudig en veilig beheer op afstand

De Surface Management Portal is ingebouwd in Microsoft Intune**. Deze cloudgebaseerde oplossing voor eindpuntbeheer  is ontworpen om het beheren en configureren van gebruikers, apps en apparaten op schaal aan te pakken. Microsoft Intune zorgt voor het beheer van mobiele applicaties (MAM) en mobiele apparaten (MDM).

Windows Update beheert de uitrol en update van firmware, software en stuurprogramma’s. End-to-end bescherming zorgt ervoor dat alleen goedgekeurde content wordt geïnstalleerd. De mogelijkheid om de beveiliging van apparaten op afstand te beheren kan voor jouw IT-team een enorme tijdsbesparing betekenen: de kans op firmware- of randsomware-aanvallen wordt verkleind en problemen worden verholpen voordat ze te ver komen.

Windows Autopilot werkt samen met Intune en bespaart tijd door veilige implementatie op afstand te stroomlijnen en nieuwe apparaten vooraf te configureren met de vereiste beveiligingsinstellingen en beleidsregels.

In de hardware ingebouwde beveiliging

Onze beveiligingsaanpak begint bij de hardware. Surface beschermt gegevens bij het opstarten van het apparaat. Een Trusted Platform Module 2.0 (TPM 2.0) fungeert als een veilige kluis voor het opslaan van wachtwoorden, pincodes en certificaten, beschermt de hardware tegen inbreuken en beperkt de toegang tot alleen bevoegde personen. In elke fase van de opstartcyclus wordt de firmwarecode gecontroleerd op echtheid om te verzekeren dat het systeem geen kwaadaardige code uitvoert.

Bij het opstarten biedt Windows Hello for Business het hoogste niveau van biometrische beveiliging met infrarood camerasensoren voor een betere gezichtsherkenning. Biometrische aanmelding is het moeilijkst te repliceren en zorgt ervoor dat alleen geautoriseerde gebruikers toegang krijgen tot het apparaat.

Vergrendelde firmware

Surface-apparaten blokkeren bedreigingen proactief door externe toegang tot de firmware uit te schakelen via de Unified Extensible Firmware Interface (UEFI). Het door Microsoft ontwikkelde UEFI wordt beheerd via het Microsoft Intune** admin center. Omdat niet wordt vertrouwd op de broncode van derden, wordt het risico op firmwareniveau geminimaliseerd en wordt de toegang die hackers uiteindelijk zouden kunnen benutten, geëlimineerd.

De Microsoft UEFI en Device Firmware Configuration Interface (DFCI) maken een meer granulaire controle van de firmware mogelijk via Microsoft Intune. DFCI vermindert aanvalmogelijkheden door onnodige hardwarecomponenten uit te schakelen en neemt de afhankelijkheid van het lokale UEFI-wachtwoord (BIOS) weg. DFCI biedt de mogelijkheid om de opstartopties te vergrendelen om te voorkomen dat gebruikers in een ander besturingssysteem opstarten. Beveiligingsupdates die op de achtergrond worden uitgevoerd, bieden continue, actuele bescherming tegen de nieuwste bedreigingen.

Uit de verpakking direct veilig met Windows 11

Surface-apparaten met Windows 11 bevatten een nieuwe set beveiligingsfuncties die direct uit de doos zijn ingeschakeld. Deze functies zijn ontworpen voor een basis die nog sterker en weerbaarder is tegen aanvallen.

Virtualization-based Security (VBS) en Hypervisor-enforced Code Integrity (HVCI), ook bekend als geheugenintegriteit werken samen om betere bescherming te bieden tegen  malware. VBS voert gevoelige beveiligingsoperaties uit in een geïsoleerde omgeving door code te controleren voordat ze beginnen, waardoor malware geen toegang krijgt tot het systeemgeheugen. Als een bedreiging toegang krijgt tot systeembronnen, kan de HVCI de effecten van de malware beperken en indammen.

Zelfs voordat je je aanmeldt met verschillende biometrische opties zorgt Secure Boot ervoor dat de firmware hetzelfde niveau behoudt als toen deze de fabriek verliet. Samen voorkomen Secure Boot en Trusted Boot dat malware en beschadigde elementen worden geladen tijdens het opstarten. Na het opstarten helpt BitLocker-encryptie om gegevens ontoegankelijk te maken. Zelfs op verloren of gestolen apparaten.

Meer weten?

Benieuwd naar hoe Surface jouw kan helpen je cyberweerbaarheid te verhogen? Neem dan contact op met je hardware partner of één van de geautoriseerde Surface-resellers.

Voetnoten