Core Isolation en geheugenintegriteit configureren in Windows

Als je Windows 10 of 11 gebruikt, heb je die melding waarschijnlijk wel eens gezien. kern isolatie e “Geheugenintegriteit uitgeschakeld” In Windows Beveiliging. Veel mensen vinden het belangrijk, maar het is helemaal niet duidelijk wat het precies doet, welke voordelen het biedt, wat het kan verstoren of hoe je het correct configureert, vooral wanneer tools zoals Hyper-V, oplossingen van derden of antivirusprogramma's die ook virtualisatie gebruiken, in het spel komen.

In de volgende regels vindt u een zeer complete handleiding om te begrijpen wat ze zijn. Kernisolatie en geheugenintegriteitHoe ze intern werken (inclusief de op beveiliging gebaseerde virtualisatiecomponent, VBS), hoe je ze kunt in- of uitschakelen via de grafische interface, het register of via beleidsregels, hoe je kunt controleren of alles werkt en welke veelvoorkomende problemen je kunt tegenkomen, zoals conflicten met stuurprogramma's, software zoals BlueStacks of virtualisatie. hardware van Kaspersky.

Wat is kernisolatie in Windows?

Het telefoontje kernisolatie Het is een geavanceerde beveiligingsfunctie die is opgenomen in Windows 10 en Windows 11 die gebruikmaakt van virtualisatie om Scheid de kernel van het besturingssysteem van de rest van de processen. die op de computer draaien. Het idee is simpel: als de kernel in een meer geïsoleerde en gecontroleerde omgeving draait, is het veel moeilijker dan wanneer een malware of een aanvaller slaagt erin code in dat gevoelige gebied te injecteren.

Wanneer u Core Isolation inschakelt, maakt Windows een beschermde en gevirtualiseerde omgeving waar kritieke onderdelen van het systeem draaien, zodat kwaadwillende code die via een bestand, een defecte driver of een app binnenkomt, geen directe toegang heeft tot het kernelgeheugen. Deze logische scheiding is gebaseerd op hardwarevirtualisatietechnologieën en de Microsoft-hypervisor.

Stel je voor dat je een opent E-mailbijlage besmet met malwareZonder kernelisolatie kan een goed ontworpen aanval gebruikmaken van een systeemkwetsbaarheid om privileges te verhogen en naar kritieke geheugengebieden te schrijven, waardoor de kernel wordt aangetast en het systeem volledig wordt gecompromitteerd. Met ingeschakelde kernelisolatie is een dergelijke aanval "beperkt" tot een omgeving waar deze de kernel niet direct kan manipuleren, waardoor de impact ervan aanzienlijk wordt verminderd.

Naast het isoleren van processen maakt het systeem gebruik van hardwaregeheugen om Bewaar gevoelige informatie in beveiligde zones.Dit verkleint het aanvalsoppervlak. Het vervangt geen antivirussoftware of andere beveiligingsmaatregelen. goede praktijkenMaar het biedt een zeer krachtige extra beschermingslaag tegen geavanceerde dreigingen.

Wat is geheugenintegriteit en welke rol speelt het in de beveiliging?

Binnen de isolatie van de kern zelf is het belangrijkste onderdeel het zogenaamde geheugenintegriteit of geheugenintegriteit. Deze functie is afhankelijk van de virtualisatiegebaseerde beveiliging (VBS) Windows zal het mechanisme voor de integriteit van de kernelcode uitvoeren in een geïsoleerde virtuele omgeving, volledig gescheiden van het normale besturingssysteem.

In de praktijk zorgt geheugenintegriteit ervoor dat Alleen code die correct is ondertekend, kan in de kernel worden geladen. en wordt als betrouwbaar beschouwd. Om dit te bereiken, maakt het gebruik van de Windows-hypervisor, die een kleine, veilige "onderwereld" creëert die fungeert als een vertrouwensbasis, zelfs als de hoofdkernel gecompromitteerd zou zijn. Als u niet-ondertekende code in gecontroleerde omgevingen wilt testen, raadpleeg dan hoe activeer ontwikkelaarsmodus op een veilige manier

Een van de belangrijkste mogelijkheden van deze functie is dat beperkt de toewijzing van kernelgeheugen Deze functies kunnen worden gebruikt om kwetsbaarheden te misbruiken of privileges te escaleren. Als een aanvaller probeert kritieke geheugenstructuren te wijzigen nadat de geheugenintegriteit is ingeschakeld, blokkeert het systeem dit of veroorzaakt het een gecontroleerde fout voordat de dreiging kan worden uitgevoerd.

Een andere belangrijke taak is het beschermen van elementen zoals de kernelmodusstuurprogramma's Control Flow Guard (CFG) bitmapDeze structuur helpt Windows de uitvoeringsstroom van code in de kernel te bewaken; als malware erin slaagt deze te wijzigen, kan de uitvoering worden omgeleid naar kwaadaardige onderdelen. Met geheugenintegriteit wordt dit soort manipulatie veel moeilijker.

Bovendien is de integriteit van het geheugen van belang. waarborgt de integriteit van de code in de kernelmodus.Het is verantwoordelijk voor het controleren of andere vertrouwde kernelprocessen geldige certificaten hebben en of de geladen code niet is gewijzigd. Als er iets mis lijkt te zijn, blokkeert de driverloader het proces.

Relatie tussen VBS, kernisolatie en geheugenintegriteit

Om het goed te begrijpen, is het raadzaam onderscheid verschillende concepten die Windows samen gebruikt, hoewel ze vaak als hetzelfde worden beschouwd:

• VBS (Virtualisatiegebaseerde Beveiliging)Dit is de kerntechnologie die de Windows-hypervisor gebruikt om een ​​of meer beveiligde geheugencontainers te creëren. Beveiligingsservices draaien binnen deze containers, die het systeem als betrouwbaarder beschouwt dan de kernel zelf.
• KernisolatieDit is de overkoepelende term voor gebruikerszichtbare functies in Windows Beveiliging die gebruikmaken van VBS om de kernel en andere kritieke processen te beschermen.
• GeheugenintegriteitDit is een van de componenten binnen de kernelisolatie die specifiek verantwoordelijk is voor de integriteit van de kernelcode en het beperken van gevaarlijke geheugentoewijzingen.

Het is mogelijk om alleen VBS in te schakelen zonder geheugenintegriteit te activeren, of combineer VBS + geheugenintegriteit Om een ​​veel betere bescherming te hebben, wat Microsoft in de meeste professionele en zakelijke scenario's aanbeveelt.

Hoe kan ik Core Isolation en Memory Integrity in- of uitschakelen via de interface?

Voor een thuisgebruiker is de eenvoudigste manier om deze functies te bedienen via de applicatie zelf. Windows beveiligingDit is meestal toegankelijk via het blauwe schildvormige pictogram in het systeemvak, naast de klok. Als u het niet ziet, kunt u zoeken naar 'Windows Beveiliging' met de toetsencombinatie Windows + S.

Zodra de app is geopend, ga je naar het betreffende gedeelte. “Apparaatbeveiliging”Daar zie je een blok genaamd “Kern isolatie”Op veel apparaten verschijnt een bericht dat er ongeveer zo uitziet:Geheugenintegriteit is uitgeschakeld. Het apparaat is mogelijk kwetsbaar.", wat aangeeft dat Core Isolation beschikbaar is, maar dat het gedeelte voor geheugenintegriteit niet werkt.

Om het te veranderen, tikt u op “Details over de kernisolatie”Er wordt een scherm met geavanceerde opties geopend, waar u onder andere de schakelaar voor zult zien. “Geheugenintegriteit”Wanneer deze functie is geactiveerd, zal Windows het laden van stuurprogramma's of kernelcode die niet aan de beveiligingsvereisten voldoen, blokkeren.

Op datzelfde scherm wordt meestal ook de optie weergegeven om te verschijnen. “Lijst met kwetsbare Microsoft-stuurprogramma's”Wanneer deze functie is ingeschakeld, voorkomt het systeem dat stuurprogramma's die door Microsoft als problematisch of met bekende kwetsbaarheden zijn aangemerkt, worden uitgevoerd. Dit biedt een extra beschermingslaag tegen aanvallen met behulp van kwaadaardige stuurprogramma's.

Nadat je geheugenintegriteit hebt ingeschakeld, is het normaal dat Windows je hierom vraagt. Start het systeem opnieuw op Om de wijzigingen toe te passen, ziet u een melding in de rechterbenedenhoek met een knop om direct opnieuw op te starten. Als alles goed gaat na het opnieuw opstarten, verschijnt er een groen bevestigingspictogram naast 'Kernelisolatie' in 'Apparaatbeveiliging', wat aangeeft dat de beveiliging actief is.

Geavanceerde configuratie via het register voor VBS en geheugenintegriteit.

In professionele omgevingen of wanneer u de configuratie op meerdere computers wilt automatiseren, is het gebruikelijk om gebruik te maken van Windows-register en scripts (voordat je iets aanraakt, doe een registerback-up) om VBS en geheugenintegriteit in te schakelen of te verfijnen. De relevante sleutels bevinden zich onder het pad:

HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard

Een aanbevolen configuratie Om VBS en niet-vergrendelende geheugenintegriteit in UEFI in te schakelen, moeten de volgende waarden worden ingesteld via een console met beheerdersrechten:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f

Als je de instellingen wilt verfijnen, kun je dat doen. gebruik elke toets afzonderlijk afhankelijk van wat je wilt activeren:

• Schakel alleen VBS in (zonder geheugenintegriteit)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
• Vereist alleen Boot Secure Boot voor VBS (waarde 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 1 /f
• Vereist beveiligd opstarten + DMA-bescherming voor VBS (waarde 3)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
• VBS configureren zonder UEFI-vergrendeling (Vergrendeld = 0)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
• Configureer VBS met een permanente UEFI-vergrendeling. (Vergrendeld = 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 1 /f
• Activeer geheugenintegriteit (HVCI)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
• Configureer de UEFI-geheugenintegriteit die niet vergrendeld is. (Vergrendeld = 0)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
• Configureer geheugenintegriteit met UEFI-vergrendeling (Vergrendeld = 1)
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 1 /f
• Forceer VBS (en geheugenintegriteit) in de verplichte modus.
  reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Mandatory" /t REG_DWORD /d 1 /f

Wanneer de waarde is gemarkeerd Verplicht = 1, de Windows-lader Het systeem kan hierdoor niet verder opstarten. Als de hypervisor, de "beveiligde kernel" of een van de daarvan afhankelijke modules niet laadt, is dat een drastische maatregel bedoeld voor omgevingen waar veiligheid voorrang heeft boven beschikbaarheid.

Een ander interessant vraagstuk is de controle over de grafische interface voor geheugenintegriteitAls je wilt dat het scherm gedimd wordt weergegeven en de melding "Deze instelling wordt beheerd door uw beheerder" verschijnt, kun je het volgende uitvoeren:

reg delete HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v "WasEnabledBy" /f

En als u later besluit de gebruiker weer normale controle over die schakelaar te geven, dan kunt u herstel het met:

reg add HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity /v "WasEnabledBy" /t REG_DWORD /d 2 /f

Schakel geheugenintegriteit in met App Control voor bedrijven.

In bedrijven met een groot personeelsbestand is het vaak handiger om het beleid van App-beheer voor bedrijven (oud Windows Defender (Applicatiebeheer) om gecentraliseerde geheugenintegriteit mogelijk te maken. Er zijn verschillende manieren om dit te doen:

1. door Applicatiebeheerassistent, bij het aanmaken of bewerken van een beleid, door de optie te selecteren “Door hypervisor beschermde code-integriteit” op de pagina met beleidsregels.
2. Gebruik van de cmdlet van PowerShell Set-HVCIOptions, waarmee u het gedrag van HVCI (Hypervisor-Enforced Code Integrity) kunt activeren, deactiveren of aanpassen vanuit beheerscripts.
3. Direct bewerken XML-bestand voor app-beheerbeleid en het wijzigen van de waarde van het element <HVCIOptions>om het aan te passen aan de behoeften van elke organisatie.

Hoe controleer ik of VBS en geheugenintegriteit actief zijn?

Zodra je denkt dat alles correct is ingesteld, is het belangrijk Controleer wat er daadwerkelijk is ingeschakeld en actief is.Windows biedt hiervoor diverse hulpmiddelen, zowel online als offline. commando's zoals weergegeven in de grafische interface.

Controleren met de WMI-klasse Win32_DeviceGuard

In Windows 10, Windows 11 en Windows Server 2016 of later is er een specifieke WMI-klasse voor VBS en Device Guard: Win32_DeviceGuardVanuit een PowerShell-console met beheerdersrechten kunt u de informatie verkrijgen met:

Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard

De uitvoer van dit commando Het omvat een flink aantal velden.Enkele bijzonder nuttige voorbeelden zijn:

• Instantie-identificatie: unieke tekenreeks om het apparaat binnen WMI te identificeren.
• Versie: versie van de WMI-klasse, momenteel meestal 1.0.
• Beschikbare beveiligingseigenschappenLijst met beveiligingseigenschappen die door de hardware en het systeem worden ondersteund voor VBS en geheugenintegriteit. Elk getal geeft de beschikbare capaciteit aan:
  0: geen relevante eigenschappen
  1: Compatibiliteit met hypervisors
  2: Secure Boot beschikbaar
  3: DMA-bescherming beschikbaar
  4: Veilige geheugenoverschrijving
  5: Beschikbare NX-beveiligingen
  6: SMM-mitigaties
  7: MBEC/GMET beschikbaar
  8: APIC-virtualisatie beschikbaar
• CodeIntegrityPolicyEnforcementStatus: geeft aan hoe het beleid voor code-integriteit in het systeem wordt toegepast:
  0: gedeactiveerd
  1: in auditmodus
  2: in versterkte modus
• Vereiste beveiligingseigenschappen: geeft aan welke beveiligingseigenschappen nodig zijn om VBS op die computer in te schakelen, met dezelfde nummering als voorheen (1 voor hypervisor, 2 voor Secure Boot, 3 voor DMA, enz.).
• Beveiligingsservices geconfigureerd: geeft aan welke op virtualisatie gebaseerde beveiligingsservices zijn geconfigureerd:
  0: geen
  1: Credential Guard is geconfigureerd
  2: geconfigureerde geheugenintegriteit
  3: Beveiliging tegen systeemopstarten geconfigureerd
  4: Meting van de geconfigureerde SMM-firmware
  5-7: Verschillende modi van hardwarematige stackbeveiliging en hypervisor-verbeterde pagingvertaling
• Beveiligingsservices actief: vergelijkbaar met de vorige, maar toont welke services daadwerkelijk actief zijn (0 voor geen, 1 voor Credential Guard actief, 2 voor geheugenintegriteit actief, enz.).
• GebruikersmodusCodeIntegriteitsbeleidHandhavingsstatus: Status van de code-integriteit in gebruikersmodus (0 uitgeschakeld, 1 audit, 2 afgedwongen).
• VirtualizationBasedSecurityStatus: waarschijnlijk het belangrijkste veld voor VBS:
  0: VBS is niet ingeschakeld
  1: VBS is ingeschakeld, maar werkt niet.
  2: VBS is ingeschakeld en werkt
• VirtualMachineIsolatie y Virtuelemachineisolatie-eigenschappenDeze waarden beschrijven het ondersteunde isolatieniveau van virtuele machines. Mogelijke waarden zijn onder andere AMD SEV-SNP (1), Virtualization-based Security (2) en Intel TDX (3).

De VBS-status bekijken met msinfo32.exe

Als je de voorkeur geeft aan iets meer visueels, kun je starten msinfo32.exe Vanuit Uitvoeren of vanuit een PowerShell-venster met beheerdersrechten. Zodra "Systeeminformatie" is geopend, in het gedeelte “Systeemoverzicht” Onderaan zie je een blok dat is gewijd aan “Op virtualisatie gebaseerde beveiliging” met details over of VBS is ingeschakeld, welke functies het gebruikt en aan welke vereisten de apparatuur moet voldoen.

Veelvoorkomende problemen en probleemoplossing bij het gebruik van geheugenintegriteit

Het heeft echter niet alleen voordelen. Het activeren van Core Isolation en met name Memory Integrity kan tot problemen leiden. conflicten tussen bestuurders, prestatieverlies of zelfs blauwe schermenvooral op computers met oudere hardware of verouderde stuurprogramma's.

Een van de meest voorkomende fouten is dat Een apparaatstuurprogramma laadt niet meer of begint vast te lopen, wat crashes veroorzaakt. tijdens de uitvoering. De oplossing bestaat bijna altijd uit het proberen om het stuurprogramma bij te werken vanuit de Apparaatbeheer of van de website van de fabrikant naar een ondertekende en HVCI-compatibele versie.

In andere gevallen hebben sommige gebruikers na het activeren van de functie geconstateerd dat de De framesnelheid (FPS) in games daalt aanzienlijk. Of dat bepaalde virtualisatietoepassingen (zoals BlueStacks of vergelijkbare emulators) niet meer werken of erg instabiel worden. Dit kan komen doordat de geheugenintegriteit intensief gebruikmaakt van de virtualisatiemogelijkheden van de processor en technieken blokkeert die deze toepassingen gebruiken. apps eerder gebruikt.

Er zijn ook meldingen van computers die blauwe schermen worden weergegeven Wanneer u kernelisolatie probeert in te schakelen of na een herstart met geheugenintegriteit ingeschakeld, kunt u in deze situaties, als u niet normaal kunt inloggen op het systeem, gebruikmaken van de volgende methode. Windows Herstelomgeving (Windows RE).

De typische procedure In geval van een ernstige storing zou het volgende gebeuren:

1. Schakel indien mogelijk vooraf groepsbeleid, Intune of andere tools uit die de integriteit van VBS en het geheugen kunnen afdwingen.
2. Start de computer op in Windows RE (bijvoorbeeld door het opstartproces meerdere keren te onderbreken of door installatiemedia te gebruiken) en open de console.
3. Eenmaal in Windows RE kunt u het register handmatig aanpassen om Geheugenintegriteit uitschakelenBijvoorbeeld met:
   reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 0 /f
4. Start het apparaat opnieuw op en controleer of het opstartproces weer normaal verloopt.

Het implementeren van geheugenintegriteit in Hyper-V virtuele machines.

De integriteit van het geheugen is niet beperkt tot fysieke apparatuur: het kan ook inschakelen binnen virtuele machines van Hyper-V Vrijwel op dezelfde manier als op een gewone pc. Vanuit het perspectief van het gastbesturingssysteem zijn de activeringsstappen gelijk.

Het is echter belangrijk op te merken dat de bescherming van toepassing is op Inhoud van de virtuele gastmachineMet andere woorden, het helpt de virtuele machine te beschermen tegen malware en aanvallen die daarin worden uitgevoerd, maar Het biedt geen bescherming aan de host of de platformbeheerder.Een hostbeheerder kan de geheugenintegriteit voor een VM uitschakelen met een eenvoudige PowerShell-opdracht:

Een hostbeheerder kan Schakel de geheugenintegriteit van een virtuele machine uit. met een eenvoudig PowerShell-commando:

Set-VMSecurity -VMName <VMName> -VirtualizationBasedSecurityOptOut $true

Om geheugenintegriteit in Hyper-V te gebruiken, zijn er een aantal minimale vereisten:

• El Hyper-V-host Het systeem moet minimaal Windows Server 2016 of Windows 10 versie 1607 draaien.
• La De virtuele machine moet van de tweede generatie zijn. en minimaal Windows Server 2016 of Windows 10 moet draaien.
• Geheugenintegriteit kan worden gecombineerd met geneste virtualisatieAls u de Hyper-V-rol binnen de virtuele machine zelf wilt installeren, moet u eerst de geneste virtualisatieomgeving op de host inschakelen.
• De virtuele glasvezelkanaaladapters Ze zijn niet compatibel met geheugenintegriteit. Voordat u er een met de VM verbindt, moet u deze uitsluiten van op virtualisatie gebaseerde beveiliging. Set-VMSecurity.
• De keuze AllowFullSCSICommandSet Schijven met directe doorvoer ondersteunen ook geen geheugenintegriteit. Als u deze wilt gebruiken, moet u de op virtualisatie gebaseerde beveiliging voor die virtuele machine uitschakelen.

Kernisolatie en de impact ervan op de prestaties: is het de moeite waard?

Een terugkerende vraag is of het de moeite waard is om Core Isolation en Memory Integrity ingeschakeld te laten wanneer je merkt dat de computer verliest wat prestatiesDe ventilatoren beginnen te draaien of bepaalde programma's werken niet meer naar behoren.

Sommige gebruikers hebben bijvoorbeeld gemeld dat bij het activeren van deze optie BlueStacks werkt niet meer of dat specifieke beheertools zoals Alienware Command Center Ze stoppen met het correct bewaken van de hardware, waardoor de ventilatoren op hol slaan. De oorzaak ligt meestal bij stuurprogramma's of services die niet ontworpen zijn om met HVCI te werken.

Het komt ook relatief vaak voor dat spelers een FPS-vermindering in veeleisende games Wanneer geheugenintegriteit is ingeschakeld, zorgen de overhead van virtualisatie en extra kernelcontroles voor extra latentie en een hoger resourceverbruik. Dit is niet op alle systemen dramatisch, maar op sommige is het wel merkbaar.

In deze gevallen hangt de beslissing af van je prioriteiten: als je het apparaat intensief gebruikt voor games of incompatibele programma's, kan het zinvol zijn. Schakel de kernisolatie tijdelijk uit.Het is raadzaam om in ruil daarvoor extra voorzorgsmaatregelen te nemen: vermijd downloads Vermijd verdachte websites, bezoek geen dubieuze websites en zorg ervoor dat uw antivirussoftware, zoals Microsoft Defender of een andere betrouwbare oplossing, altijd actief en up-to-date is.

Als je daarentegen geen problemen of noemenswaardige prestatieproblemen ondervindt bij het activeren van Core Isolation, dan is het ten zeerste aan te raden. Laat het zitten als extra beschermingslaag., vooral in portable die reizen, werkteams of apparaten die gevoelige gegevens verwerken.