Ze hebben ongetwijfeld gekeken naar SELinux. Verspilde moeite. Slechte beheerders zetten dit toch uit.
Dit gaat echt niet het niveau van Android krijgen omdat windows een ouderwets inflexibel systeem is met als resultaat slechte implementatie waardoor applicaties niet opstarten zonder melding.

Heeft weinig met slechte beheerders te maken veel applicaties (inclusief tools, drivers van Microsoft) hebben geen signing. En wat heb je aan een restrictie platform als je het constant moet overschrijven.

Je kan als beheer al decenia lang een lijst aanleggen met allowed programs en deny op alles erbuiten vanuit GPO. Verschil dat is gebaseerd op hardlinking, relative path of type exentsie en kijkt niet naar signing.

Signing zegt me echt heel weinig als het op veiligheid aankomt een bad actor kan bij een bedrijf ook de signing kapen en een bad actor kan ook via via komen aan legitime signing. Dat is alsof je sites vertrouwd omdat ze puur TLS certs hebben.

Dit gaat enkel gezeik geven bij standaard opt-in. Professionals hebben dit al afgedekt en zullen het uitschakelen wegens dat het conflicteerd met huidige opstellingen end point protections en centraal beheer. En reguliere gebruikers, consumenten zullen overal gaan klagen dat hun applicaties (vaak games) niet meer werken.

Probleem met Windows OS is dat het niet vanuit de basis van Security by Design is ontworpen en al helemaal niet vanuit privacy by design. Maar dat laatste is sowieso al een onbekend begrip bij Big Tech. Niet om een OS flamewar te beginnen maar wat dat betreft zijn Linux en Mac OS veel meer vanuit security ontworpen. Misschien wordt het tijd voor MS om eens terug te gaan naar de tekentafel en Windows opnieuw vanaf scratch als een secure design te gaan ontwikkelen ipv steeds maar iteratie op iteratie te stapelen.

Uiteraard kan de 'phone home' meuk van microsoft zelf wel ongehinderd overal bij...

Je vergelijking gaat mank op dat je een kernel vergelijkt met een OS. Maar ik ga er van uit dat je bedoeld met Linux, Linux gebaseerde systemen. In dat geval ligt het sterk aan welke Linux OS je vergelijkt met out of the box experience.
Een linux systeem dat je by default vanuit root of de wheel group laat werken is niet inherrent veiliger dan Windows.

Security by Design in een read write opstelling is opzich zelf niet veiliger als je admin rechten hebt het biedt je echter de tools om veiliger te werken mits je kennis erin hebt, monitoring doet van de werking. Je kan Windows pot dicht zetten als je wilt net als Linux systemen echter je beperkt wel het gemak ermee of de functies. Je kan ook zeggen dat Linux kernel minder veilig is gemaakt dan wat het oorspronkelijk voorstelde. We hebben namelijk zeer weinig nog van de UNIX system filosofie er in zitten.

En beide zijn niet vanuit privacy by design gemaakt omdat het weer afhankelijk is van je Linux OS leverancier. Er zijn genoeg die ook standaard telemetry opvragen. Waar wel het verschil zit is dat Windows er financieel belang bij heeft om de privacy laag te houden wegens de integraties met al hun anderde producten. Linux systemen hebben zover ik de markt ken dat niet. Apple is grijs gebied omdat ze privacy vaak gebruiken als excuus om concurenten buiten de deur te halen maar ondertussen wel zelf de data gebruiken.

Als je kennis hebt in de OS dan kan je zelfde beveiliging niveau bereiken als de andere maar het kan je wel meer tijd kosten.

Ze stappen langzaam over op Linux. Kijk maar naar Azure en IoT

Linux ontstond als een hobbyproject en niet als een systeem dat vanaf dag één vanuit beveiligingsprincipes werd ontworpen.
https://nl.wikipedia.org/wiki/Linux

Je wilt geen flameware beginnen maar je begint het wel.

Tegenwoordig zijn mobiele besturingsystemen zoals Android en iOS sowieso vele malen veiliger dan welk desktop-besturingsysteem dan ook, met enkele uitzonderingen daargelaten. (oa. QubesOS+Whonix en Secureblue zijn zeer veilig)
Maar er is altijd ruimte voor verbetering zoals Microsoft tracht te doen.

De nadelen aan WindowsOS: Weinig tot geen privacy, matige beveiliging, gesloten software en dus niet transparant.
De nadelen aan Linux: (verscheidene distro's) is net zoals Windows lang niet zo veilig als Android en iOS, maar heeft daarentegen wel een sterke privacy, vrijheid en transparantie van software.
De nadelen aan iOS: Is gesloten software, dus een zwarte doos, maar heeft wel dezelfde veiligheidsstandaarden als Android.
De nadelen aan AndroidOS: Is soms bij voorbaat gecompromiteerd zoals bij goedkope Chinese apparaatmerken, en je hebt weinig privacy, (telefoons zijn bedoeld om metadata te verzamelen voor geld) met enkele uitzonderingen daargelaten want GrapheneOS, een op AOSP-gebaseerd OS is zeer goed voor beveiliging en privacy, LineageOS (AOSP gebaseerd) voor privacy, al heeft LineageOS vaak geen verified boot is is dus in sommige gevallen minder veilig)
Al is dit wel een erg simpel lijstje met voor en nadelen... Misschien kan iemand met behulp van een LLM een lijst maken met voor en nadelen per OS en welk OS het beste bij welke doelgroep past.

Alle gevallen hebben voor en nadelen, men moet gewoon kiezen welk OS het beste past bij uw levenskeuzes en threatmodelling. (Ben je een journalist? Houd je van autonomie? Wil je gewoon een makkelijk bedienbaar OS? etc)

base line security mode? je bedoeld standje "UIT"!

SELinux works like charm here op RHEL/Rocky!

ik zeg "skill issue!" :).

Even wat ergenis van mij af schrijven.
Voor de goede orde: ik ben niet de schrijver van de tekst waarop onderstaande quotes reacties waren.
Voor de liefhebbers: alles hieronder geldt niet slechts voor de serieuze linux distributies, maar ook voor de BSDs.

Grote woorden voor een evidentie. Hier wordt natuurlijk niet een "linux" van een of ander gadget als vergelijking opgevoerd, maar een linux distributie geschikt voor volwaardig gebruik op een desk- of laptop.

Mij is geen actuele behoorlijke linux distributie bekend waar dat voor komt.

Een systeem waarin de veiligheid niet steeds in het ontwerp is meegenomen is stomweg nog nauwelijks veilig te krijgen. Linux/UNIX zijn niet alleen multi-proces; het is vanaf het allereerste begin multi-user. Bij MS Windows is dat anders, de kernel daarvan kan prima dienen voor multi-user, maar als vervolgens is het stelselmatig misgegaan: grote delen van de userinterface zijn vanuit user-space naar de kernel, soms zelfs ring-0 (GINA) gebracht, een "net use" wordt gedeeld tussen processen die onder een verschillend user account worden uitgevoerd wat voorspelbaar heel wonderlijke effecten geeft, standaard ontbreken veel van de voor behoorlijk beheer benodigde systeemprogramma's waardoor beheerders al snel een of ander handig tooltje inzetten dat god-weet-'t-waar-vandaan komt enz enz enz enz enz. Het lijkt dat Microsoft de laatste jaren wel wat zaken heeft verbeterd, maar dat gaat vaak van-au, omdat gebruikers en applicaties hun systemen en praktijken hebben gevormd op die slechte praktijken van Microsoft waar immer de eigen belangen prevaleren boven die van haar klanten.

Kun je niet hard maken.

Een gebruiker van een gerenommeerde Linux distributie - waarvan het ontwerp beveiliging wel in alle lagen een plaats geeft - heeft tenminste de keuze, dat is nu eenmaal een belangrijk voordeel van FOSS software (zowel GPL als BSD distributies).

Dat is een redelijke analyse.

Beetje een illusie. Zoals hierboven opgemerkt: indien niet goed in het ontwerp voorzien is ad-hoc iets veilig maken vrijwel ondoenlijk.

Dat Linux als een vrije implementatie van UNIX is begonnen door een IT student betekent nog niet dat het denigrerend kan worden afgedaan als hobbyproject. En de huidige ontwikkelsystematiek en -governance van het project zijn alles behalve hobbyistisch, die zijn ongeëvenaard. En dat geldt in zekere zin ook voor het merendeel van de programmatuur die in user space door distributies worden geïntegreerd.

Ik hoor het alweer; nog nooit business applications of specialistische hardware moeten ondersteunen?
Niet dat ik het nou geweldig vindt, maar "slechte beheerders" is toch een beetje overtrokken.

Het grote probleem met Windows is vooral dat de partijen die een 'moderne werkplek' met een Intune-managed W11 laptop uitrollen geen enkel idee hebben wat ze doen. Die volgen gewoon een domme template die ergens in hun MSP-krochten door een Microsoft MVP is opgesteld, maar hebben geen idee hoe brak Windows echt is, hoe chaotisch de CA is ingericht en hoe dramatisch de uitrol van updates is. Mogen we ajb alle eindgebruikers gewoon op Linux zetten, ze hebben toch alleen maar een browser, een mailclient en een suffe tekstverwerker nodig voor hun werk.

Linux is vanaf dag 1 een UNIX kloon of te wel een POSIX implementatie; multiuser, multi-processing op basis van time sharing. En security by desgin. Windows was niet eens als multiuser ontworpen. Dit is er later als software bult met die vreselijke profiles (bIj sommige gebruikers meer dan een GB groot!, geen wonder waarom het opstarten zo lang kan duren want dat moet allemaal eerst worden gedownload. $USER/&HOME mounten kan niet onder windows vandaar) bijgebouwd onder licentie door Citrix en later door MS weer overgenomen.

Zelfs die suffe textverwerker is niet meer nodig. Die (javascript) editors zitten tegenwoordig ingebouwd in de intranetapplicatie

Hoewel je natuurlijk volstrekt gelijk hebt, beware mij de goden, want als de zakenmannen en -managers die MS Windows als werkplek propageren dat met Linux gaan doen, dan valt te vrezen dat spoedig een Linux distributie wordt opgetuigd die net zo een schofterige reclamezuil of vehikel voor licenties op ongenode diensten wordt.

Ik denk dat dit zeker zal worden geprobeerd.

Sinds wanneer is het hebben van veel distro's een nadeel? Dat zeg je bij auto's toch ook niet! Kwestie van smaak en doelgroep. Een desktop onveiliger noemen ook zo'n rare mening. Bij een Linux desktop kan je naast SELinux beleid o.a. ook een cryptografisch beleid kiezen en natuurlijk een security policy: https://www.open-scap.org/security-policies/choosing-policy/

Ala Lindows; betalen voor opensource apps via click & run. Gaat geen zoden aan de dijk zetten omdat we het niet hebben over een monocultuur waar de leverancier bepaalt.

Zorin OS is voor de meeste mensen genoeg en geen privacy nightmare en baas over jouw PC ipv MS.
Op mijn Acer Aspite TC-1785 in 5 minuten draaiend met alles werkend. Hoefde zelf geen intel rst driver te side-loaden zoals vreemd genoeg bij windows (25h2) wel nodig is om the kunnen installeren. Alles voor de huis tuin en keuken gebruiker zit er ook al bij en werkend uit of the box. Maar het mooiste is dat het een mooie gestroomlijnde interface heeft waar windows gebruikers zich thuis zullen voelen.