Vroeger had je dit grapje (kan tegenwoordig niet meer natuurlijk): "Het zit in een hoekje en wordt steeds kleiner: een mongool met een kaasschaaf". Daar deed me dit bericht aan denken. Als je een knurft toegang geeft tot een scherp mes zal hij zich er ooit mee gaan snijden. Waarom moet de knurft toegang hebben tot "Terminal/PowerShell" ... Met dank aan Microsoft zelf die dat dus standaard mee-installeert met Windows? Wij van WC-eend adviseren WC-eend!

Snap 'm, maar denk er iets anders over.
Dat een gebruiker zich zelf in de voet kan schieten, is ook een kwestie van onvoorspelbaarheid van het platform wat ertoe leidt dat vele gebruikers elk kritisch vermogen t.o.v. het systeem verliezen. Foutmeldingen, waarschuwingen en onnavolgbare UX warrigheid hebben tot gevolg dat de meeste gebruikers niet eens meer proberen te snappen wat er gebeurt, ze alles negeren, ook het gezond verstand, en een willig slachtoffer zijn voor boefjes. Het ergst is nog wel dat die onvoorspelbaarheid een bewuste keuze is: goede voorspelbare programmatuur vergt nu eenmaal meer ontwikkelkosten en bovendien, kritische gebruikers zitten ze ook niet op te wachten.

Dat is niet mijn punt en ook behoorlijk irrelevant naar mijn mening. Het minimaliseren van aanvalsoppervlakte is naast vele andere standaarden en richtlijnen een bewezen methode om je te beschermen tegen "jezelf in de voet schieten". Van de 100% Windows gebruikers heeft misschien 1% daadwerkelijk "Terminal / PowerShell" nodig? Installeer dat dan niet standaard maar maak het optioneel. Dan werkt deze aanval niet of nauwelijks. Want de mensen die bewust wèl "Terminal / PowerShell" hebben geïnstalleerd weten waarom en trappen hier dan niet in. Of misschien 1% daarvan. En 1% van 1% is weinig.

Helaas werkt dit niet met Windows... Windows is een besturingssysteem dat zowel extreem oud is als extreem onveilig is en blijft. Jaren geleden hebben ze hier iets aan willen doen (UAC) maar het is te laat en de basis is gewoon te onveilig.

Een simpel voorbeeld, veel MDM (remote management) zaken lopen via powershell scripts (laten we inlogscripts maar even terzijde). Zelfs tijdens de initiële uitrol fase (zogeheten OOBE fase) is de boel nog steeds met scripts aan elkaar geknoopt.
Het remote beheer van Windows is alleen al een legacy drama dus systeembeheerders in zakelijke omgevingen zullen deze onderdelen nooit (kunnen) uitschakelen. Man, ze hebben pas recentelijk VBS en internet Explorer uitgeschakeld maar de libraries staan er nog gewoon... Het is gewoon een grote bak legacy...

Besturingssystemen zoals Mac OS en Linux zijn gebouwd op veel veiligere fundaties en moderne besturingssystemen zoals IOS en Android hebben helemaal geen last van dit soort legacy rommel.

Het is gewoon simpel, je kan Windows niet veilig maken... Je moet er gewoon vanaf stappen en dat kan prima.. De organisaties waarmee ik werk hebben dat al bijna 10 jaar geleden gedaan...

MDM, OOBE, remote beheer ... dat is allemaal zakelijk. Maar privé is anders, daar kan het gewoon uit. Desnoods direct na de out-of-the-box-experience.