Nieuwe installatie, windows enteprise of gewoon pro?

Als het een werklaptop is, vragen bij de IT helpdesk en vanaf blijven. Het is Windows, en je zult waarschijnlijk de ingebouwde apps bijna niet gebruiken.

Als je hem "krijgt", is het niet prive? Maar je doet onnodig moeilijk.

[ Voor 19% gewijzigd door gambieter op 08-04-2025 19:03 ]

Enterprise kan alleen maar als je een volume licentie hebt. Als particulier of kleine onderneming ga je die nooit hebben. Als je bij een grote onderneming werkt dat is het aan de IT afdeling om dat te regelen.

MSDN bestaat al jaren niet meer, het is tegenwoordig een Visual Studio subscription, en die keys mogen enkel gebruikt worden om je ontwikkelwerk mee te ondersteunen. Je laptop voor dagelijks gebruik mag niet met die keys geactiveerd worden.

TweakerVincent schreef op dinsdag 8 april 2025 @ 19:08:
Heb nog een andere vraag:

Ik wil hem zakelijk ook graag gebruiken, bij mijn klant mag ik hem laten inrollen.

De laptop heeft 3 SSD's. Ik wil er dan 2 prive gebruiken met eigen windows installatie en de 3e SSD (dus aparte klant windows) volledig voor de klant gebruiken. Ik zit alleen met bitlocker. Die wil wss alle schijven gaan encrypten. Kan je dit 100% scheiden?

"Mag ik hem laten inrollen"? Het klinkt of je dat fijn vindt, waarom is dat? Ik vind policies die door een bedrijf erop worden gepushed vaak vooral privé vervelend. Misschien kun je iets met vm's gaan doen? Ik heb (toen ik nog 2 opdrachtgevers tegelijk had) gewoon via hyper-v vm's gemaakt per opdrachtgever. Supermooi gescheiden.

Bitlocker kan trouwens gewoon per fysieke harddisk, dus ja: 100% scheiden is mogelijk.

@TweakerVincent Kun je dat image van de klant niet als VM in Hyper-V op je 'eigen' laptop laten landen?

Waarom laat je de klant niet voor een laptop zorgen? Je maakt het allemaal erg gecompliceerd.

TweakerVincent schreef op dinsdag 8 april 2025 @ 19:40:
die heb ik ook, ik heb nu prive een laptop die erg snel is.

Probeer wat professioneler te denken, dit is geen goede reden. Prive en werk is beter gescheiden te houden, je krijgt ook allerlei gezeik met licenties als je niet voorzichtig bent.

spaceboy schreef op dinsdag 8 april 2025 @ 19:25:
[...]

Het zou me verbazen als de klant dat goed vindt. Het voelt vrij zinloos als je 3 schijfjes hebt waar er 1 van gecrypt is met bitlocker en waar je OS voorzien van endpoint protection of weet ik wat voor andere (vervelende) policies en dat je dan lekker met je dualboot aan de gang gaat waarbij je op je "privé Windows installatie" helemaal losgaat met allemaal gare shitsoftware en alle bedrijfspolicies aan je laars lapt, de hele shitzooi vol met trojans en virussen laadt, waarbij vervolgens alle bedrijfsgeheimen van de "extra harde schijf" (de zakelijke OS-schijf) op straat belanden.

Misschien zie ik iets over het hoofd, maar dat enrollen/encrypten is bedoeld om iets te beschermen. Het voelt of je met jouw voorgestelde setup een kasteel hebt met een slotgracht en gepantserde deur, maar vervolgens kun je gewoon achterom via de achterdeur die wagenwijd open staat. Een beetje slimme kasteelheer vindt die achterdeur geen strak plan.

Alleen werkt het gelukkig zo niet.

Je private Windows installatie is niet in staat om de systeemschijf van de bedrijfsinstallatie te benaderen. Alle data die daar op staat, staat veilig. En op het moment dat je opstart met die bedrijfsinstallatie kan een virus dat zich op je private installatie bevindt niet zomaar starten. Daar moet je letterlijk zelf actie voor ondernemen en dan nog is de kans groot datr de endpoint protection van de bedrijfs image het gaat tegenhouden.

Het grotere risico, en waarom bedrijven dit niet leuk vinden, is dat je data eenvoudig kunt uitwisselen tussen de bedrijfsimage en de private image. Terwijl een bedrijf dus perfect een beleid kan voeren dat je zelfs geen USB mass storage devices mag gebruiken om data diefstal te voorkomen bouw je zelf op deze manier een achterdeur. Aan de andere kant zullen bedrijven die zo ver gaan nooit toestaan dat je een willekeurig toestel zomaar kunt enrollen in de bedrijfsomgeving.

Bij ons in de onderneming is het toegezet. We doen geen BYOD bij ons in de onderneming. Als een onderneming dat wel toestaat, moet je vooral even de nodige documentatie doornemen om te zien wat hun vereisten zijn, alsook welke verplichtingen er tegenover staan. Zo kan het zijn dat ze niet toestaan dat het systeem een multiboot omgeving heeft. Het kan zijn dat ze gaan verpichten dat elk volume met bitlocker beveiligd is bijvoorbeeld. Maar het kan ook zijn dat ze je systeem zo dicht timmeren dat je er zelf niet veel meer aan hebt voor privaat gebruik. Zoals de verplichting van een always-on VPN, het ontnemen van admin rechten, het enforceren van applocker, ... Zo zijn de laptops bij ons in de onderneming niet bedoeld voor privaat gebruik, al mag je dat incidenteel wel doen, bijvoorbeeld als je reist voor het werk gaan we je niet tegenhouden om 's avonds op hotel Netflix te streamen. Maar we houden wel controle over je applicaties, enkel goedgekeurde software mag draaien, en je blijft altijd beschermd door oinze firewall policies, inclusief het blokkeren van spelletjes, gokken, porno, ...

Blokker_1999 schreef op woensdag 9 april 2025 @ 09:44:
[...]


Alleen werkt het gelukkig zo niet.

Je private Windows installatie is niet in staat om de systeemschijf van de bedrijfsinstallatie te benaderen. Alle data die daar op staat, staat veilig. En op het moment dat je opstart met die bedrijfsinstallatie kan een virus dat zich op je private installatie bevindt niet zomaar starten. Daar moet je letterlijk zelf actie voor ondernemen en dan nog is de kans groot datr de endpoint protection van de bedrijfs image het gaat tegenhouden.

Ik trek je niet in twijfel (want je klinkt overtuigd/overtuigend), maar toch snap ik niet helemaal hoe ik dat voor me moet zien. Als jij vanaf je privé schijf opstart en je zet (al dan niet per ongeluk) een backdoor open waardoor een kwaadwillende op jouw systeem zit, dan kan die kwaadwillende toch ook naar de (ik noem maar wat) E-schijf navigeren en bedrijsfgeheimen stelen? Dan ga ik er even vanuit dat je je Bitlocker key in moet geven bij booten (ongeacht of je privé of zakelijk opstart) en/of de situatie dat je als gebruiker al toegang hebt in een sessie tot je zakelijke schijf waarbij je de Bitlocker key al hebt gegeven.

Anders gezegd: wat je in de tweede alinea als groter risico omschrijft kan toch ook door een kwaadwillende met (remote) access tot je privé opgestarte operating system?