Aanmelden met Microsoft
Meld u aan of maak een account.
Hallo,
Selecteer een ander account.
U hebt meerdere accounts
Kies het account waarmee u zich wilt aanmelden.

Kernisolatie is een beveiligingsfunctie van Microsoft Windows die belangrijke kernprocessen van Windows beschermt tegen schadelijke software door ze in het geheugen te isoleren. Dit doe je door deze kernprocessen uit te voeren in een gevirtualiseerde omgeving. 

Opmerking: Wat je ziet op de pagina Kernisolatie kan enigszins variëren, afhankelijk van de versie van Windows die je gebruikt.

Geheugenintegriteit

Geheugenintegriteit, ook wel bekend als Hypervisor-beveiligde code-integriteit (HVCI) is een Windows-beveiligingsfunctie die het moeilijk maakt voor schadelijke programma's om stuurprogramma's op laag niveau te gebruiken om uw computer te kapen.

Een stuurprogramma is software waarmee het besturingssysteem (in dit geval Windows) en een apparaat (zoals een toetsenbord of een webcam, bijvoorbeeld) met elkaar kunnen communiceren. Wanneer het apparaat wil dat Windows iets doet, wordt het stuurprogramma gebruikt om die aanvraag te verzenden.

Tip: Wilt je er meer over weten? Zie Wat is een stuurprogramma?

Geheugenintegriteit werkt door een geïsoleerde omgeving te maken met behulp van hardwarevirtualisatie.

Zie het als een bewaker in een vergrendelde cabine. Deze geïsoleerde omgeving (de vergrendelde booth in onze analogie) voorkomt dat er met de functie voor geheugenintegriteit wordt geknoeid door een aanvaller. Een programma dat een code wil uitvoeren die gevaarlijk kan zijn, moet de code doorgeven aan de geheugenintegriteit in die virtuele stand, zodat deze kan worden geverifieerd. Wanneer de geheugenintegriteit vertrouwd is dat de code veilig is, wordt de code terug naar Windows opgegeven om uit te voeren. Meestal gebeurt dit heel snel.

Als geheugenintegriteit niet wordt uitgevoerd, valt de beveiliging direct op. Hierdoor is het voor een aanvaller veel eenvoudiger om de beveiliging te verstoren of te saboteren en kan schadelijke code eenvoudiger problemen veroorzaken.

Hoe kan ik geheugenintegriteit beheren?

In de meeste gevallen is geheugenintegriteit standaard ingeschakeld in Windows 11 en kan deze worden ingeschakeld voor Windows 10.

Om deze modus in of uit te schakelen:

  1. Selecteer de knop Start en typ 'Kernisolatie'.

  2. Selecteer de systeeminstellingen voor Kernisolatie in de zoekresultaten om de Windows-beveiligingsapp te openen.

Op de pagina Kernisolatie vind je Geheugenintegriteit samen met de wisselknop om deze in of uit te schakelen.

De pagina kernisolatie van Windows-beveiliging

Belangrijk: Voor de veiligheid raden we aan om geheugenintegriteit in te schakelen.

Als je geheugenintegriteit wilt gebruiken, moet hardwarevirtualisatie zijn ingeschakeld in de UEFI of BIOS van je systeem. 

Wat gebeurt er als er staat dat ik een incompatibel stuurprogramma heb?

Als geheugenintegriteit niet kan worden ingeschakeld, wordt mogelijk aangegeven dat er al een incompatibel apparaatstuurprogramma is geïnstalleerd. Neem contact op met de fabrikant van het apparaat om te zien of er een bijgewerkt stuurprogramma beschikbaar is. Als er geen compatibel stuurprogramma beschikbaar is, kun je mogelijk het apparaat of de app verwijderen die gebruikmaakt van dat incompatibele stuurprogramma.

De windows-functie voor geheugenintegriteit waarmee wordt aangegeven dat een stuurprogramma niet compatibel is

Opmerking: Als je probeert een apparaat met een incompatibel stuurprogramma te installeren nadat je geheugenintegriteit hebt ingeschakeld, zie je mogelijk hetzelfde bericht. Als dit het geval is, geldt hetzelfde advies: neem contact op met de fabrikant van het apparaat om te zien of deze een bijgewerkt stuurprogramma heeft dat je kunt downloaden of installeer dat specifieke apparaat pas als er een compatibel stuurprogramma beschikbaar is.

Door hardware afgedwongen stackbeveiliging in de kernelmodus

Kernelmodus Door hardware afgedwongen stackbeveiliging is een op hardware gebaseerde Windows-beveiligingsfunctie die het moeilijk maakt voor schadelijke programma's om stuurprogramma's op laag niveau te gebruiken om uw computer te kapen.

Een stuurprogramma is software waarmee het besturingssysteem (in dit geval Windows) en een apparaat zoals een toetsenbord of webcam met elkaar kunnen communiceren. Wanneer het apparaat wil dat Windows iets doet, wordt het stuurprogramma gebruikt om die aanvraag te verzenden.

Tip: Wilt je er meer over weten? Zie Wat is een stuurprogramma?

De door hardware afgedwongen stackbeveiliging in de kernelmodus werkt door aanvallen te voorkomen die retouradressen in kernelmodusgeheugen wijzigen om schadelijke code te starten. Deze beveiligingsfunctie vereist een CPU die de mogelijkheid bevat om de retouradressen van actieve code te verifiëren.

Bij het uitvoeren van code in de kernelmodus kunnen retouradressen op de kernelmodusstack beschadigd raken door schadelijke programma's of stuurprogramma's om de normale uitvoering van code om te leiden naar schadelijke code. Op ondersteunde CPU's onderhoudt de CPU een tweede kopie van geldige retouradressen op een alleen-lezen schaduwstack die stuurprogramma's niet kunnen wijzigen. Als een retouradres op de normale stack is gewijzigd, kan de CPU deze discrepantie detecteren door de kopie van het retouradres op de schaduwstack te controleren. Wanneer deze discrepantie optreedt, vraagt de computer een stopfout, ook wel een blauw scherm genoemd, om te voorkomen dat de schadelijke code wordt uitgevoerd.

Niet alle stuurprogramma's zijn compatibel met deze beveiligingsfunctie, omdat een klein aantal legitieme stuurprogramma's het retouradres wijzigt voor niet-schadelijke doeleinden. Microsoft heeft contact gehad met talloze uitgevers van stuurprogramma's om ervoor te zorgen dat hun nieuwste stuurprogramma's compatibel zijn met door hardware afgedwongen stackbeveiliging in de kernelmodus.

Hoe kan ik kernelmodus hardware-afgedwongen stackbeveiliging beheren?

Door hardware afgedwongen stackbeveiliging in de kernelmodus is standaard uitgeschakeld.

Om deze modus in of uit te schakelen:

  1. Selecteer de knop Start en typ 'Kernisolatie'.

  2. Selecteer de systeeminstellingen voor Kernisolatie in de zoekresultaten om de Windows-beveiligingsapp te openen.

Op de pagina Kernisolatie vindt u Kernelmodus Hardware-afgedwongen Stack Protection , samen met de wisselknop om deze in of uit te schakelen.

Hiermee wordt de locatie aangegeven van de wisselknop voor de door hardware afgedwongen stackbeveiligingsinterface in de kernelmodus op de pagina Kernisolatie van de Windows-beveiliging-app.

Als u gebruik wilt maken van hardware afgedwongen stackbeveiliging in de kernelmodus, moet geheugenintegriteit zijn ingeschakeld en moet u een CPU uitvoeren die Ondersteuning biedt voor Intel Control-Flow Enforcement Technology of AMD Shadow Stack.

Wat gebeurt er als staat dat ik een incompatibel stuurprogramma of service heb?

Als Hardware-afgedwongen stackbeveiliging in de kernelmodus niet kan worden ingeschakeld, kan dit u vertellen dat er al een incompatibel apparaatstuurprogramma of -service is geïnstalleerd. Neem contact op met de fabrikant van het apparaat of de uitgever van de toepassing om te zien of er een bijgewerkt stuurprogramma beschikbaar is. Als er geen compatibel stuurprogramma beschikbaar is, kunt u mogelijk het apparaat of de app verwijderen die gebruikmaakt van dat incompatibele stuurprogramma.

Sommige toepassingen installeren mogelijk een service in plaats van een stuurprogramma tijdens de installatie van de toepassing en installeren het stuurprogramma alleen wanneer de toepassing wordt gestart. Voor een nauwkeurigere detectie van incompatibele stuurprogramma's worden ook services opgesomd waarvan bekend is dat ze zijn gekoppeld aan incompatibele stuurprogramma's.

De pagina incompatibele stuurprogramma's en services voor door hardware afgedwongen stackbeveiliging in de kernelmodus in de Windows-beveiliging-app, waarbij één incompatibel stuurprogramma wordt weergegeven. Het incompatibele stuurprogramma heet ExampleDriver.sys, gepubliceerd door 'Example Company'.

Opmerking: Als u probeert een apparaat of app met een incompatibel stuurprogramma te installeren na het inschakelen van kernelmodus hardware afgedwongen stackbeveiliging, ziet u mogelijk hetzelfde bericht. Als dat het geval is, geldt hetzelfde advies: neem contact op met de fabrikant van het apparaat of de uitgever van de app om te zien of deze een bijgewerkt stuurprogramma heeft dat u kunt downloaden, of installeer dat specifieke apparaat of die app pas als er een compatibel stuurprogramma beschikbaar is.

Beveiliging van geheugentoegang

Ook wel bekend als 'Kernel DMA-beveiliging', beschermt dit je apparaat tegen aanvallen die kunnen optreden wanneer een schadelijk apparaat wordt aangesloten op een PCI-poort (Peripheral Component Interconnect), zoals een Thunderbolt-poort.

Een eenvoudig voorbeeld van een van deze aanvallen is als iemand zijn pc verlaat voor een snelle koffiepauze, en terwijl ze afwezig waren, een aanvaller instapt, een USB-achtig apparaat aansluit en gevoelige gegevens van de computer wegloopt, of malware injecteert waarmee ze de pc op afstand kunnen beheren. 

Beveiliging van geheugentoegang voorkomt dit soort aanvallen door directe toegang tot het geheugen voor die apparaten te weigeren, behalve onder speciale omstandigheden, met name wanneer de pc is vergrendeld of de gebruiker is afgemeld.

Je wordt aangeraden geheugentoegangsbeveiliging in te schakelen.

Tip: Zie Kernel DMA-beveiliging als je meer technische informatie hierover wilt.

Firmware-beveiliging

Elk apparaat heeft software die is geschreven naar het alleen-lezengeheugen van het apparaat - in feite geschreven naar een chip op het systeembord - die wordt gebruikt voor de basisfuncties van het apparaat, zoals het laden van het besturingssysteem waarop alle apps worden uitgevoerd die we gewend zijn te gebruiken. Omdat die software moeilijk (maar niet onmogelijk) te wijzigen is, verwijzen we ernaar als firmware.

Omdat de firmware eerst wordt geladen en wordt uitgevoerd onder het besturingssysteem, hebben beveiligingshulpprogramma's en functies die in het besturingssysteem worden uitgevoerd, het moeilijk om deze te detecteren of ertegen te verdedigen. Net als een huis dat afhankelijk is van een goede basis om veilig te zijn, moet de firmware van een computer veilig zijn om ervoor te zorgen dat het besturingssysteem, de toepassingen en de klantgegevens op die computer veilig zijn.

Windows Defender System Guard is een set functies die ervoor zorgen dat aanvallers uw apparaat niet kunnen laten beginnen met niet-vertrouwde of schadelijke firmware.

We raden je aan deze optie in te schakelen als je apparaat dit ondersteunt.

Platforms die firmwarebeveiliging bieden, beschermen doorgaans ook de systeembeheermodus (SMM), een zeer bevoorrechte bedrijfsmodus, in verschillende mate. Je kunt een van de drie waarden verwachten, waarbij een hoger getal een grotere mate van SMM-beveiliging aangeeft:

  • Je apparaat voldoet aan firmwarebeveiligingsversie één: dit biedt de fundamentele beveiligingsbeperkingen om SMM te helpen misbruik door malware te voorkomen en exfiltratie van geheimen van het besturingssysteem (inclusief VBS) te voorkomen

  • Je apparaat voldoet aan firmwarebeveiligingsversie twee: naast firmwarebeveiligingsversie één, zorgt versie twee ervoor dat SMM virtualisatiegebaseerde beveiliging (VBS) en kernel-DMA-beveiliging niet kan uitschakelen

  • Je apparaat voldoet aan firmwarebeveiligingsversie drie: naast firmwarebeveiligingsversie twee, wordt de SMM verder beveiligd door toegang te voorkomen tot bepaalde registers die het besturingssysteem kunnen in gevaar brengen (inclusief VBS)

Tip: Als je hier meer technische details over wilt, raadpleeg jeWindows Defender System Guard: Hoe een hardwaregebaseerde vertrouwensbasis Windows helpt beschermen

Microsoft Defender Credential Guard

Opmerking: Microsoft Defender Credential Guard wordt alleen weergegeven op apparaten met Enterprise-versies van Windows 10 of 11.

Terwijl je je werk- of schoolcomputer gebruikt, wordt deze op de achtergrond aangemeld bij en krijg je toegang tot verschillende zaken, zoals bestanden, printers, apps en andere resources in je organisatie. Als je dat proces veilig en toch gemakkelijk maakt voor de gebruiker, betekent dit dat je computer op elk gewenst moment een aantal verificatietokens (vaak 'geheimen' genoemd) heeft.

Als een aanvaller toegang kan krijgen tot een of meer van die geheimen, kan deze mogelijk worden gebruikt om toegang te krijgen tot de organisatieresource (gevoelige bestanden, enzovoort) waarvoor het geheim is bedoeld. Microsoft Defender Credential Guard helpt bij het beveiligen van deze geheimen door ze in een beveiligde, gevirtualiseerde omgeving te plaatsen waar alleen bepaalde services er toegang toe hebben wanneer dat nodig is.

We raden je aan deze optie in te schakelen als je apparaat dit ondersteunt.

Tip: Zie Hoe Defender Credential Guard werkt als je hier meer technische informatie over wilt.

Blokkeringslijst voor Microsoft-kwetsbare stuurprogramma's

Een stuurprogramma is software waarmee het besturingssysteem (in dit geval Windows) en een apparaat (zoals een toetsenbord of een webcam, bijvoorbeeld) met elkaar kunnen communiceren. Wanneer het apparaat wil dat Windows iets doet, wordt het stuurprogramma gebruikt om die aanvraag te verzenden. Hierdoor hebben stuurprogramma's veel gevoelige toegang in je systeem.

Vanaf de update Windows 11 2022 hebben we nu een blokkeringslijst met stuurprogramma's die bekende beveiligingsproblemen hebben, zijn ondertekend met certificaten die zijn gebruikt om malware te ondertekenen of die het Windows-beveiliging Model omzeilen.

Als je geheugenintegriteit hebt, Smart App Control of windows S-modus ingeschakeld, is de kwetsbare stuurprogrammablokkeringslijst ook ingeschakeld.

Zie ook

Beschermd blijven met Windows-beveiliging

Help en training voor Microsoft-beveiliging

Facebook LinkedIn E-mail
RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

Was deze informatie nuttig?

Hoe tevreden bent u met de taalkwaliteit?
Wat heeft uw ervaring beïnvloed?
Als u op Verzenden klikt, wordt uw feedback gebruikt om producten en services van Microsoft te verbeteren. Uw IT-beheerder kan deze gegevens verzamelen. Privacyverklaring.

Hartelijk dank voor uw feedback.

×