Microsoft start met uitrol van Administrator Protection in Windows 11
Microsoft is begonnen met de uitrol van Administrator Protection in Windows 11. Een feature die extra beveiliging voor ingelogde admins moet bieden. Administrator Protection zorgt ervoor dat admins met standaard gebruikersrechten werken. Wanneer er een systeemaanpassing is vereist of er een applicatie moet worden geïnstalleerd zal de gebruiker dit via een aparte prompt en Windows Hello moeten autoriseren.
Windows maakt dan een tijdelijk, geïsoleerd admintoken aan om de taak uit te voeren. Dit token wordt na het uitvoeren van de taak meteen verwijderd, zodat de adminrechten niet blijven en de ingelogde admin gewoon weer standaard gebruikersrechten krijgt. Bij de aankondiging stelde Microsoft dat Administrator Protection ervoor zorgt dat gebruikers de controle over het systeem blijven houden en dat aanvallers niet automatisch, directe toegang tot de kernel of belangrijke systeembeveiliging hebben.
"Administrator Protection vereist dat een gebruiker zijn identiteit via Windows Hello verifieert voordat er een actie wordt toegestaan die adminrechten vereist. Deze acties omvatten het installeren van software, aanpassingen van systeeminstellingen zoals de tijd of het register en het krijgen van toegang tot gevoelige data. Administrator Protection beperkt het risico dat de gebruiker per ongeluk een systeemaanpassing maakt, en belangrijker, voorkomt dat malware stilletjes aanpassingen doorvoert aan het systeem zonder dat de gebruiker dit weet", aldus Microsoft.
Administrator Protection is één van de features in de "Preview update" voor Windows 11 van deze maand. Het gaat hier om een niet-security gerelateerde update voor het besturingssysteem die gebruikers zelf moeten downloaden en installeren en allerlei nieuwe features bevat. Administrator Protection staat niet standaard ingeschakeld. Wanneer de feature als normale update wordt aangeboden is nog niet bekend.
Reacties (26)
29-10-2025, 13:02 door
Rubbertje
"Reactie bevat ongeldige tekens" Wat is dit nou weer??? Ik heb gewoon een reactie getypt. Hoe los ik deze foutmelding op???
29-10-2025, 13:03 door
Anoniem
Wat is er gebeurt met run as feature?
Zover ik weet log je op een pc/laptop aan met je normale gebruikers account en als het nodig is, gebruik je het admin account.
Zijn ze weer het wiel opnieuw aan het uitvinden?
Zover ik weet log je op een pc/laptop aan met je normale gebruikers account en als het nodig is, gebruik je het admin account.
Zijn ze weer het wiel opnieuw aan het uitvinden?
29-10-2025, 13:10 door
Anoniem
Door Rubbertje: "Reactie bevat ongeldige tekens" Wat is dit nou weer??? Ik heb gewoon een reactie getypt. Hoe los ik deze foutmelding op???
Nou zo dus.
29-10-2025, 13:13 door
Anoniem
Spannend hoor, een 'geïsoleerd admintoken'.
Staat natuurlijk ergens in het geheugen opgeslagen........nuf said.
Staat natuurlijk ergens in het geheugen opgeslagen........nuf said.
29-10-2025, 13:13 door
Anoniem
Door Rubbertje: "Reactie bevat ongeldige tekens" Wat is dit nou weer??? Ik heb gewoon een reactie getypt. Hoe los ik deze foutmelding op???
copy paste naar notepad, en daar dan kijken wat er voor raars overgekomen is.Ontopic: Goede move, ik hoop wel dat je het als local admin ook uit kunt zetten, omdat het mogelijk een heleboel automatiseringstaken breekt.
29-10-2025, 13:28 door
johanw
Binnenkort ook geen echte admin meer op windows? Android fabrikanten zijn ook steeds vijandiger tegen het rooten van devices, het wordt een trend.
29-10-2025, 13:41 door
Anoniem
Dit is er één uit de lange reeks van oplossingen tegen Pass-the-Hash PtH, zie bv https://www.security.nl/posting/365226/ uit 2013. PtH is een fundamenteel probleem met Kerberos https://en.wikipedia.org/wiki/Kerberos_(protocol).
Veel beter zou zijn als Windows OpenID Connect (OIDC) https://openid.net/developers/how-connect-works/ zou gaan ondersteunen maar doet dat alleen met een Azure oplossing. Er zijn een paar third-party credential provider die OIDC lijken te ondersteunen, zie bv https://blog.codeb.io/tag/credential-provider/ & https://win-logon.com/windows-mobile-openid-connect-rdp/
Veel beter zou zijn als Windows OpenID Connect (OIDC) https://openid.net/developers/how-connect-works/ zou gaan ondersteunen maar doet dat alleen met een Azure oplossing. Er zijn een paar third-party credential provider die OIDC lijken te ondersteunen, zie bv https://blog.codeb.io/tag/credential-provider/ & https://win-logon.com/windows-mobile-openid-connect-rdp/
29-10-2025, 15:35 door
Anoniem
Klinkt als sudo met een session time van 0.
29-10-2025, 15:38 door
Anoniem
Ja, wat was er ook al weer nodig voor Hello?
29-10-2025, 16:27 door
Anoniem
Door Anoniem: Ja, wat was er ook al weer nodig voor Hello?
is dat met die webcam?
voorspelling:
Bij Windows 12 staat de webcam permanent aan. Als je die afdekt wordt het scherm vergrendeld.
29-10-2025, 16:50 door
Anoniem
Door Rubbertje: "Reactie bevat ongeldige tekens" Wat is dit nou weer??? Ik heb gewoon een reactie getypt. Hoe los ik deze foutmelding op???
Deze site ondersteunt een deel van de enorme, want internationale, Unicode-tekenverzameling, en een heel groot deel niet. Ik loop er heel incidenteel ook wel eens tegenaan dat ik een teken gebruik dat geweigerd wordt. Alle tekens die rechtstreeks op een hier gangbaar toetsenbord zitten, zonder accenten, gaan gewoon goed. De in het Nederlands gebruikte accenten voor zover ik overzie ook. Het is steeds iets dat niet gangbaar is waar het op stukloopt. Ik gebruik voor voetnoten in een post bijvoorbeeld wel eens ¹²³ etc., maar 4 en hoger accepteert deze site niet in superscript.Het is bij die melding altijd even zoeken in je reactie welk teken dat niet rechtstreeks met één toetsaanslag in te typen is de boosdoener is, domweg door de kandidaat-tekens een voor een even weg te halen en te kijken of dat het oplost. Gebruik de preview-knop daarvoor, die doet die controle zonder dat je meteen de reactie plaatst. Ik heb dan wel eens de neiging om met een @redactie-post te verzoeken zo'n teken toe te voegen aan de geaccepteerde tekens, als het in mijn ogen een zinvolle toevoeging is, en dat heeft als ik me goed herinner wel eens succes gehad, maar zeker niet altijd.
De reden om niet alle tekens toe te staan is ongetwijfeld dat er tekens zijn die sprekend lijken op de bij ons gangbare westerse tekens maar uit een heel ander schrift komen. Als het formulier ze toestaat dan kunnen ze ook in URLs misbruikt worden om mensen naar bijvoorbeeld phishing-websites te leiden. Van heel Unicode uitpluizen wat wel en wat niet misbruikt kan worden is onbegonnen werk, dat zijn honderdduizenden verschillende tekens, ga er maar aan staan. Ik snap daarom dat een site als deze de keuze maakt om een verzameling in onze taal gangbare tekens toe te staan en de rest niet. En daar loop je dan wel eens tegenaan.
29-10-2025, 19:06 door
Anoniem
Waarom vereist de Windows 10 ESU dan dat het account admin rechten heeft om aan te melden en de extended updates op te halen? (Naast een Microsoft account)
29-10-2025, 19:51 door
Anoniem
Ik wil Hell zero niet, want dat werkt niet. Hoe gaat dit feature dan mijn windhoos vernaaien?
29-10-2025, 20:03 door
Anoniem
Veiligheid prima, want onder administrator rechten werken is al sinds Windows XP eigenlijk niet nodig en toch doet MS dat zelf al vaak, zelfs als je een Windows client entra-joined is de user tegen de eigen best practise local admin, maar....dit klinkt weer als een afhankelijkheid van een cloud-connected Windows client. Hoe zit het met een AD joined device of een local/standalone device?
29-10-2025, 20:26 door
Anoniem
Door Anoniem: Wat is er gebeurt met run as feature?
Zover ik weet log je op een pc/laptop aan met je normale gebruikers account en als het nodig is, gebruik je het admin account.
Zijn ze weer het wiel opnieuw aan het uitvinden?
Ja weer een software bult er bij omdat ze Linux sudo functionaliteit niet kunnen implementeren. Run as geeft denk ik direct alle rechten die je niet kan limiteren?Zover ik weet log je op een pc/laptop aan met je normale gebruikers account en als het nodig is, gebruik je het admin account.
Zijn ze weer het wiel opnieuw aan het uitvinden?
29-10-2025, 20:33 door
Anoniem
Ik zou maar vast gaan overstappen want in windows 12 schijnt alleen copilot te zitten met verder alleen WSL als subsysteem ge-anabled.
Gisteren, 09:33 door
Anoniem
Dit is gewoon afgekeken van Linux waar je dit soort prompts altijd ontvangt bij bepaalde handelingen.....
Wat voor mij nog maar eens bevestigd Linux te blijven gebruiken omdat dit simpelweg veiliger werkt.
Wat voor mij nog maar eens bevestigd Linux te blijven gebruiken omdat dit simpelweg veiliger werkt.
Gisteren, 09:33 door
Anoniem
Recent weer aanpassingen moeten maken als beheerder op een Windows 11 machine waar de gebruiker beperkte rechten heeft en met de recente Windows updates zijn er weer aanpassingen doorgevoerd waardoor een beheerder weer meer tijd kwijt is om toegang te krijgen tot het systeem voor beheerswerkzaamheden.
Ik ben helemaal klaar met de rommel en de puinhopen die Microsoft achterlaat en het is nu exit Microsoft.
Zakelijk wordt nog aan gewerkt maar alles in privé is al exit Microsoft tot volle tevredenheid.
Ik ben helemaal klaar met de rommel en de puinhopen die Microsoft achterlaat en het is nu exit Microsoft.
Zakelijk wordt nog aan gewerkt maar alles in privé is al exit Microsoft tot volle tevredenheid.
Gisteren, 13:05 door
Anoniem
Door Anoniem: Veiligheid prima, want onder administrator rechten werken is al sinds Windows XP eigenlijk niet nodig en toch doet MS dat zelf al vaak, zelfs als je een Windows client entra-joined is de user tegen de eigen best practise local admin, maar....dit klinkt weer als een afhankelijkheid van een cloud-connected Windows client. Hoe zit het met een AD joined device of een local/standalone device?
Dat is juist wel nodig. Onder XP (t/m ME) was iedereen al admin met 0 security. Pas nog bij een stichting geweest waar de windows gebruikers allemaal admin rechten hebben omdat ze anders niet kunnenn printen!! Ook zij overwegen om windows de deur uit te doen ivm ransomware gevaar en hoeveelheid onderhoud.
Gisteren, 14:25 door
Anoniem
Dat is juist wel nodig. Onder XP (t/m ME) was iedereen al admin met 0 security. Pas nog bij een stichting geweest waar de windows gebruikers allemaal admin rechten hebben omdat ze anders niet kunnenn printen!! Ook zij overwegen om windows de deur uit te doen ivm ransomware gevaar en hoeveelheid onderhoud.
Beetje vaag bericht. Windows XP kwam na Windows ME. Windows XP is gebaseerd op de NT kernel en ME op de 95/98 basis. Windows NT kernel was in elk geval al vanaf Windows NT4 prima af te regelen met beperkte rechten, Windows XP alweer beter. Vanaf Windows Vista (ook NT kernel) kwam als uitbreiding UAC (prompts) erbij.
Als je admin rechten geeft aan users omdat je niet kunt printen klopt er iets niet. Eventueel kan het zijn dat je eenmalig een stuurprogramma (of update ervan) moet installeren, omdat dit is geblokkeerd. Windows printing / spooler is namelijk de afgelopen 10 jaar zo lek als een mandje gebleken, dus er zijn juist meer beperkingen op gekomen dan vroeger.
Het 'grappige' is dat je met je Windows 10 'local admin' moet zijn met je MS user account om je pc aan te kunnen melden voor extended security updates van Windows 10 om veilig te blijven. Het is altijd zo'n contradictie bij MS als het om veiligheid gaat.
Gisteren, 14:43 door
Rubbertje
Door Anoniem:
Ontopic: Goede move, ik hoop wel dat je het als local admin ook uit kunt zetten, omdat het mogelijk een heleboel automatiseringstaken breekt.
Door Rubbertje: "Reactie bevat ongeldige tekens" Wat is dit nou weer??? Ik heb gewoon een reactie getypt. Hoe los ik deze foutmelding op???
copy paste naar notepad, en daar dan kijken wat er voor raars overgekomen is.Ontopic: Goede move, ik hoop wel dat je het als local admin ook uit kunt zetten, omdat het mogelijk een heleboel automatiseringstaken breekt.
Bedankt voor de tip. In Notepad zag ik niks vreemds, maar in Word zag ik onbedoelde tabs.
Gisteren, 14:44 door
Rubbertje
Door Anoniem:
Het is bij die melding altijd even zoeken in je reactie welk teken dat niet rechtstreeks met één toetsaanslag in te typen is de boosdoener is, domweg door de kandidaat-tekens een voor een even weg te halen en te kijken of dat het oplost. Gebruik de preview-knop daarvoor, die doet die controle zonder dat je meteen de reactie plaatst. Ik heb dan wel eens de neiging om met een @redactie-post te verzoeken zo'n teken toe te voegen aan de geaccepteerde tekens, als het in mijn ogen een zinvolle toevoeging is, en dat heeft als ik me goed herinner wel eens succes gehad, maar zeker niet altijd.
De reden om niet alle tekens toe te staan is ongetwijfeld dat er tekens zijn die sprekend lijken op de bij ons gangbare westerse tekens maar uit een heel ander schrift komen. Als het formulier ze toestaat dan kunnen ze ook in URLs misbruikt worden om mensen naar bijvoorbeeld phishing-websites te leiden. Van heel Unicode uitpluizen wat wel en wat niet misbruikt kan worden is onbegonnen werk, dat zijn honderdduizenden verschillende tekens, ga er maar aan staan. Ik snap daarom dat een site als deze de keuze maakt om een verzameling in onze taal gangbare tekens toe te staan en de rest niet. En daar loop je dan wel eens tegenaan.
Door Rubbertje: "Reactie bevat ongeldige tekens" Wat is dit nou weer??? Ik heb gewoon een reactie getypt. Hoe los ik deze foutmelding op???
Deze site ondersteunt een deel van de enorme, want internationale, Unicode-tekenverzameling, en een heel groot deel niet. Ik loop er heel incidenteel ook wel eens tegenaan dat ik een teken gebruik dat geweigerd wordt. Alle tekens die rechtstreeks op een hier gangbaar toetsenbord zitten, zonder accenten, gaan gewoon goed. De in het Nederlands gebruikte accenten voor zover ik overzie ook. Het is steeds iets dat niet gangbaar is waar het op stukloopt. Ik gebruik voor voetnoten in een post bijvoorbeeld wel eens ¹²³ etc., maar 4 en hoger accepteert deze site niet in superscript.Het is bij die melding altijd even zoeken in je reactie welk teken dat niet rechtstreeks met één toetsaanslag in te typen is de boosdoener is, domweg door de kandidaat-tekens een voor een even weg te halen en te kijken of dat het oplost. Gebruik de preview-knop daarvoor, die doet die controle zonder dat je meteen de reactie plaatst. Ik heb dan wel eens de neiging om met een @redactie-post te verzoeken zo'n teken toe te voegen aan de geaccepteerde tekens, als het in mijn ogen een zinvolle toevoeging is, en dat heeft als ik me goed herinner wel eens succes gehad, maar zeker niet altijd.
De reden om niet alle tekens toe te staan is ongetwijfeld dat er tekens zijn die sprekend lijken op de bij ons gangbare westerse tekens maar uit een heel ander schrift komen. Als het formulier ze toestaat dan kunnen ze ook in URLs misbruikt worden om mensen naar bijvoorbeeld phishing-websites te leiden. Van heel Unicode uitpluizen wat wel en wat niet misbruikt kan worden is onbegonnen werk, dat zijn honderdduizenden verschillende tekens, ga er maar aan staan. Ik snap daarom dat een site als deze de keuze maakt om een verzameling in onze taal gangbare tekens toe te staan en de rest niet. En daar loop je dan wel eens tegenaan.
Bedankt voor je reactie. Ik ben in Word erachter gekomen dat er onbedoeld tabs in zaten.
Gisteren, 16:21 door
Bitje-scheef
Gelukkig werkt Windows Hello zonder problemen....kuch kuch kuch...
Man man man.....
Man man man.....
Gisteren, 16:25 door
Anoniem
Soort sudo-achtig mechanisme dus. Briljant idee. Linux/Unix-systemen hebben dit al een jaar of 30
Gisteren, 17:48 door
Anoniem
Door Anoniem:
Klinkt heerder dat ze last hebben van een beheerder zonder goede kennis van zaken.Door Anoniem: Veiligheid prima, want onder administrator rechten werken is al sinds Windows XP eigenlijk niet nodig en toch doet MS dat zelf al vaak, zelfs als je een Windows client entra-joined is de user tegen de eigen best practise local admin, maar....dit klinkt weer als een afhankelijkheid van een cloud-connected Windows client. Hoe zit het met een AD joined device of een local/standalone device?
Dat is juist wel nodig. Onder XP (t/m ME) was iedereen al admin met 0 security. Pas nog bij een stichting geweest waar de windows gebruikers allemaal admin rechten hebben omdat ze anders niet kunnenn printen!! Ook zij overwegen om windows de deur uit te doen ivm ransomware gevaar en hoeveelheid onderhoud.
Gisteren, 18:05 door
Anoniem
Door Anoniem:
Beetje vaag bericht. Windows XP kwam na Windows ME. Windows XP is gebaseerd op de NT kernel en ME op de 95/98 basis. Windows NT kernel was in elk geval al vanaf Windows NT4 prima af te regelen met beperkte rechten, Windows XP alweer beter. Vanaf Windows Vista (ook NT kernel) kwam als uitbreiding UAC (prompts) erbij.
Als je admin rechten geeft aan users omdat je niet kunt printen klopt er iets niet. Eventueel kan het zijn dat je eenmalig een stuurprogramma (of update ervan) moet installeren, omdat dit is geblokkeerd. Windows printing / spooler is namelijk de afgelopen 10 jaar zo lek als een mandje gebleken, dus er zijn juist meer beperkingen op gekomen dan vroeger.
Het 'grappige' is dat je met je Windows 10 'local admin' moet zijn met je MS user account om je pc aan te kunnen melden voor extended security updates van Windows 10 om veilig te blijven. Het is altijd zo'n contradictie bij MS als het om veiligheid gaat.
Zo vaag vind ik dit niet. Windows3 t/m ME dus tot XP had helemaal geen security model. Iedereen kon die passwd file inzien.Dat is juist wel nodig. Onder XP (t/m ME) was iedereen al admin met 0 security. Pas nog bij een stichting geweest waar de windows gebruikers allemaal admin rechten hebben omdat ze anders niet kunnenn printen!! Ook zij overwegen om windows de deur uit te doen ivm ransomware gevaar en hoeveelheid onderhoud.
Beetje vaag bericht. Windows XP kwam na Windows ME. Windows XP is gebaseerd op de NT kernel en ME op de 95/98 basis. Windows NT kernel was in elk geval al vanaf Windows NT4 prima af te regelen met beperkte rechten, Windows XP alweer beter. Vanaf Windows Vista (ook NT kernel) kwam als uitbreiding UAC (prompts) erbij.
Als je admin rechten geeft aan users omdat je niet kunt printen klopt er iets niet. Eventueel kan het zijn dat je eenmalig een stuurprogramma (of update ervan) moet installeren, omdat dit is geblokkeerd. Windows printing / spooler is namelijk de afgelopen 10 jaar zo lek als een mandje gebleken, dus er zijn juist meer beperkingen op gekomen dan vroeger.
Het 'grappige' is dat je met je Windows 10 'local admin' moet zijn met je MS user account om je pc aan te kunnen melden voor extended security updates van Windows 10 om veilig te blijven. Het is altijd zo'n contradictie bij MS als het om veiligheid gaat.
windows NT3 was niet eens multi user. Dat is er door Citrix op een lelijke manier er in gehackt om terminal functionaliteit te kunnen levereren wat Linux in die tijd al lang kon want dat ontwerp was vanaf het begin al opgezet als multi-user time-sharing OS.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technical Consultant (IGA)
Maak impact als Technical Consultant bij SITS | Traxion! Ontwerp en implementeer slimme IGA-oplossingen en vertaal complexe vraagstukken naar veilige systemen. Werk samen met IAM-specialisten uit diverse disciplines en draag bij aan digitale veilig-heid. Van lokale tot internationale projecten: jij krijgt de kans om te groeien én de toe-komst van cybersecurity vorm te geven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?