Local administrator

Is het nou een goed of slecht idee om je eindgebruikers local administrator rechten te geven op hun endpoints?

De laatste jaren is de trend dat we eindgebruikers steeds meer vrijheid gegeven hebben op de systemen waar ze mee werken. Sterker nog, we hebben ze vaak Local Administrator gemaakt.

Niet op de laatste plaats doordat je gebruikers deze vrijheden ook in de privé sfeer gewend geraakt zijn door het gemak waarmee ze apps installeren op hun telefoons of eigen laptops. Veel software kent tegenwoordig gratis alternatieven en in een groeiend aantal gevallen is de gratis software misschien nog wel beter dan de betaalde alternatieven die op je zakelijke laptop staan.

Uiteindelijk zijn we zo ver gekomen dat we in veel gevallen de eindgebruiker ook local administrator (LA) gemaakt hebben op hun laptop zodat we zelf hun werkzaamheden uit kunnen voeren zoals zij dat willen.

Eerder in het BYOD stuk hintte ik al dat er ruimte was voor discussie op dit vlak.. Dus, is het verstrekken van LA autorisatie dan wel iets wat we echt moeten willen? En hebben we dan eigenlijk wel een keuze op dit vlak? Dat zijn de punten waar we in dit artikel eens naar gaan kijken.

Wat is een “Local Administrator”

Local administrator rechten zijn zoals iets als de sleutels van het huis.
Hier zijn de sleutels, succes!

Een gebruiker is local administrator als de hoogste rechten op het device zijn toegekend aan deze gebruiker. Een eerste verwarring hier is meteen al dat dit op een Intune (MEM) managed device eigenlijk al niet helemaal waar is.

Er zijn voldoende instellingen waarbij de instellingen die een local administrator zou maken aan bijvoorbeeld Windows Defender altijd overruled worden door de management instellingen vanuit Intune. Zoals bijvoorbeeld de “DisableLocalAdminMerge” setting die er voor zorgt dat de Defender instellingen van het managed profile altijd leidend zijn. (Zie hier meer van deze instellingen en bijvoorbeeld ook hier wat mogelijkheden met betrekking tot onder andere de firewall instellingen op je endpoints)

Maar, er zijn dus voldoende instellingen die een local admininistrator kan maken waar je niet direct of invloed over hebt. Niet op de laatste plaats het feit dat een LA zelf software kan installeren. Dit is vaak dan ook de reden waarom je deze rechten sowieso verstrekt aan je eindgebruikers.

Hier zit dan meteen ook het grootste security risico. Want niet alleen de software die de gebruiker zelf wil installeren kan dus gedraaid worden, maar ook allerlei malafide pakketten die soms onbewust of onbedoeld mee geïnstalleerd worden. (gelukkig zijn we alvast voor een heel eind verlost van allerlei search bars).

Wat een LA ook is in deze context, is een enkele entiteit met autorisatie over één device. een LA mag wel een oorsprong hebben in bijvoorbeeld een Azure AD, maar is LA op enkel zijn device en heeft in beginsel dus geen autorisatie op andere apparaten. Dat die autorisatie via allerlei routes alsnog gegeven kan worden is weer een heel ander verhaal.

Waarom zouden we een eindgebruiker “Local administrator” willen maken?

Local administrator rechten zetten de deur naar binnen op een kier
Zet je met LA rechten de deur open?

De voornaamste reden die we hiervoor horen is dat we de gebruiker de vrijheid willen geven om te werken zoals ze dat zelf willen. Het idee is dat wanneer je een gebruiker teveel beperkt ze buiten de normale IT om gaan werken en er een Shadow IT omgeving ontstaat waar je geen zicht en al helemaal geen controle over hebt.

De bovenstaande reden voer ik zelf ook wel eens aan, vooral ook omdat het alternatief (en eigenlijk de juiste werkwijze) een aanzienlijke investering in tijd gevolgd door aanzienlijk hogere onderhoudskosten met zich mee brengt.

De realiteit

De realiteit is dat het overgrote deel van de gebruikers met een relatief beperkte applicatie set overweg kan en ook helemaal niet de noodzaak heeft om daar van af te wijken. Echter, het inventariseren waar ze nou echt mee willen en moeten werken, zorgen dat ze daar volledig voor getraind worden en dat je die applicatie onderhoud (updates, wijzigende standaard configuraties en ga zo maar door) terwijl je ook nog eens de maandelijkse nieuwe gebruikers inleert in die werkplek is allemaal zo eenvoudig nog niet.

Dus, we pushen een aantal standaard applicaties, en of iemand nou de standaard notepad, of notepad++ gebruikt zal ons over het algemeen een worst wezen om het maar bot te omschrijven.

De snelste weg om ons daar als IT afdeling niet meer druk over te maken is de gebruiker het zelf maar uit te laten zoeken en ze de autorisatie geven om te installeren wat ze willen. De hele security afdeling slaapt vervolgens slecht, maar met de nodige monitoring en automatische mitigatie vanuit de Microsoft 365 E5 of E3 met de Security add-on kijken we met een iets geruster gevoel de andere kant op. (En hebben we ook daadwerkelijk aanzienlijk meer grip op de situatie, maar wel tegen de nodige kosten)

Waarom zouden we gebruikers geen local admin maken?

Het innemen van local administrator rechten kan als een gevangenis voelen voor gebnruikers.
Voor sommige mensen voelt het als opgesloten worden (voornamelijk IT’ers gelukkig)

Als we geen grip houden op wat men installeert op hun systeem hebben we dus ook geen grip op waar die installers vandaan komen.

In het notepad++ voorbeeld van hier boven pakte dat in 2021 nog goed verkeerd uit toen er installers verspreid werden met malware.

Als de gebruiker enkel de officiële bron gebruikt is dit risico minder groot, maar we weten allemaal ook wel dat de eerste google link gebruikt zal worden voor het downloaden van de gezochte software.

Hiervoor heb ik kort stil gestaan bij het werk dat komt kijken bij het standaardiseren van het volledige applicatie landschap. Dit mag dan wel een hoop werk zijn, maar het bied zeker voordelen.

Wanneer je met een homogeen landschap kan werken is er meer mogelijk op het vlak van het standaardiseren van bijvoorbeeld je onboarding en adoptie trajecten. Daarnaast maakt het je landschap overzichtelijker en zaken als patch management voor applicaties op de endpoints eenvoudiger.

Veel aanvallen die starten via een device van een eindgebruiker gaan uit van een autorisatie niveau waarbij aanvullende tools (zonder tussenkomst van de eindgebruiker) geïnstalleerd kunnen worden om de aanval verder uit te breiden. Deze tactiek sluit je uit door de gebruiker deze autorisatie domweg niet te geven. Dat sluit het risico op een aanval via het endpoint niet uit, maar het verkleint de kans aanzienlijk.

Vanuit het perspectief van de eindgebruiker valt ook wel wat te zeggen voor een meer restrictieve omgeving. Het overgrote deel heeft niets met IT en wil gewoon hun werk doen, met goede instructies, goed geconfigureerde werkplekken en applicaties is al die vrijheid en de bijbehorende verantwoordelijkheid helemaal niet nodig.

Nuances

Nuances, je zou door de bomen het bos niet meer kunnen zien.
Er zijn altijd nuances

Er is niet één antwoord op of je je gebruikers local administrator wil maken ja/nee. Los van dat het sterk afhangt van wat voor soort organisatie je bent en wat voor type personeel er rondloopt heb je ook een zekere mate van vrijheid in hoeveel risico je wil/kan/mag lopen.

Los daarvan kan je prima differentiëren binnen je organisatie. Als je er voor gaat om gebruikers niet standaard LA autorisatie te geven wil dat niet direct zeggen dat je geen van je gebruikers dergelijke rechten geeft.

Je kan overwegen om een kleine groep “power-users” meer autorisatie te verstrekken zodat zij voor de curve kunnen werken met nieuwe tools die mogelijk later voor de rest beschikbaar gesteld kunnen worden.

Of mogelijk heb je een development team dat nou eenmaal meer vrijheden nodig heeft gezien de aard van de ontwikkelingen die ze doen.

En tot slot heb je natuurlijk ook je IT afdeling nog (eventueel). Los van het feit dat die er niet zo goed tegen kunnen om beperkt te worden op hun werkstations valt er ook wel wat te zeggen voor de vrijheid om alle tools te mogen gebruiken om de omgeving goed te laten functioneren. Daarnaast kan je er ook op vertrouwen dat ze bekend zijn met de materie en geen onnodige risico’s nemen.

Conclusie

En nu dan? Moeten we iedereen meteen de local administrator rechten afnemen? Of ligt het iets gecompliceerder?

Als je momenteel in de situatie zit waarbij je eindgebruikers allemaal LA zijn is de weg terug niet zonder risico en vergt het zeker de nodige planning en voorbereiding. Maar dat neemt niet weg dat een dergelijk traject niet de moeite waard kan zijn.

Vanuit security oogpunt zou het wenselijk zijn om de LA autorisatie enkel te verstrekken aan mensen waarvoor het functioneren ernstig verstoord wordt zonder die autorisatie. Maar je hebt dus ook sectoren waar veel vrijheid op de systemen waar ze mee werken onontbeerlijk is, in die gevallen zal het risico via andere routes gemitigeerd moeten worden.

In hoofdlijnen komt het er wat mij betreft op neer dat je voor een combinatie moet gaan. De teams die werken met een vaste set applicaties en processen wil je eigenlijk geen LA autorisatie geven, de toegevoegde waarde is marginaal en de risico’s te groot. In het kort krijg je dan dus een tweedeling in de organisatie, maar de basis is hetzelfde.

Iedereen begint met dezelfde laptop, de beheer tooling, monitoring, security tooling en de initiële set applicaties zijn voor de gehele organisatie gelijk, of anders functie gebaseerd. Een (zo klein mogelijk) deel van de organisatie geef je vervolgens aanvullend autorisatie zodat ze LA zijn op hun devices.

Je kan overwegen om deze (LA) gebruikers een stukje aanvullende instructie te geven. Eventueel kan je ze ook mogelijk ook nog te laten tekenen voor de aanvullende verantwoordelijkheid die je ze geeft. Deze vrijheid komt namelijk niet zonder de nodige plichten zoals het goed onderhouden van de software (overigens deels te automatiseren), maar ook extra waakzaamheid voor verdachte situaties bij het uitvoeren van de werkzaamheden.

BYOD.. Wel of niet?

Bring your own device, als je daar 15 jaar geleden over begon zou dat absoluut ondenkbaar geweest zijn. Het idee dat een apparaat aangesloten wordt op je bedrijfsnetwerk waar je geen controle en geen zicht op hebt zal nog menig beheerder doen gruwelen, ik kom in ieder geval nog voldoende pentesters tegen die hier grote problemen mee hebben.

Maar is het nog wel zo’n groot probleem? En wat zijn dan de overwegingen om te bepalen of je BYOD toe wil staan of niet, en welke maatregelen zijn er nodig als je die weg dan in slaat?

Oude mac met rugzak
er zijn grenzen..

Wat verstaan we onder BYOD

BYOD komt veel vaker voor dan we denken en strikt gezien is het waarschijnlijk zelfs zo dat we in bijna 100% van alle IT omgevingen tot op zekere hoogte te maken hebben met BYOD situaties.

In het kort is Bring Your Own Device het best te omschrijven als het uitvoeren van zakelijke activiteiten op een aparaat (laptop, telefoon, pc, fax) dat niet onder beheer staat van de IT afdeling van je organisatie.

De meest duidelijke situatie is natuurlijk wanneer een medewerker zijn of haar eigen laptop gebruikt om op te werken, veelal omdat ze dat gemakkelijker vinden of omdat dat systeem beter/sneller is dan wat ze van hun werkgever krijgen.

Een ander scenario is dat de gebruiker een eigen telefoon gebruikt. Wederom omdat deze beter is dan de zakelijke telefoon of domweg omdat er geen telefoon verstrekt wordt en er toch contact met de collega’s, leveranciers of klanten nodig is anders dan alleen teams meetings.

Daarnaast kan een medewerker ook nog vanaf een privé pc of laptop in de avonduren nog even snel een mail beantwoorden (webmail) of zelfs op vakantie even in een internetcafé inloggen op een van de systemen daar (de horror.. niet doen 🙁 ).

Er zijn nog wel meer grensgevallen te bedenken, maar we houden het hier even bij. Voor de rest van dit artikel focussen we ons op de werkplek in de vorm van de PC of de laptop. Mobiele telefoons is een post op zichzelf waard, dus die bewaren we nog even voor later ;).

Security

Volledige segmentatie van alle data, alle netwerken en alle devices die met elkaar in aanraking komen zou de meest veilige situatie opleveren, en meteen ook de meest onwerkbare. Er moet dus gekeken worden naar wat er allemaal mogelijk is op dit vlak om te bepalen of een BYOD oplossing de moeite waard is.

Aan technische mogelijkheden op dit vlak geen gebrek, zeker binnen het Microsoft 365 ecosysteem is er inmiddels meer dan voldoende mogelijk om de benodigde segmentatie zelf voor een groot deel te automatiseren. Met labeling van data (dataclassificatie – Microsoft Purview) heb je de segmentatie van je data op orde. Door je endpoints allemaal netjes in MDM (Microsoft Endpoint Manager) te hangen en zake als EDR en AIR (Automated Investigation and Remidiation) in te regelen hou je zicht op wat er met die data gebeurt en kan je een deel van je incident response automatiseren.

De tools zijn er dus wel, maar hoe pakken we dat dan aan, en wat voor impact heeft dit op de wel/geen BYOD discussie?

Een lange adem

Soms kosten dingen gewoon tijd..

Het inregelen van alle technische maatregelen zoals eerder omschreven (en dat is nog maar een kleine selectie) is een proces van lange adem, veel werk en een hoop keuzes.

Allereerst zal er iets van beleid gerealiseerd moeten worden. De configuratie keuzes die gemaakt moeten worden kunnen deels op de baselines van Microsoft bepaald worden. Echter, de verfijning en aansluiting op je eigen organisatie is van groot belang, niet op de laatste plaats voor de werkbaarheid van de oplossing.

Je beleid bijvoorbeeld moet voorzien in het model waarmee je dataclassificatie toe gaat passen. Ben je bijvoorbeeld ISO27001 gecertificeerd? Dan heb je een dergelijk model in je beleid staan, maar in veel andere gevallen zal dit ontbreken.

Ook voor het onder beheer brengen van je endpoints is mogelijk nog een hele weg te gaan, zeker ook omdat je misschien wel helemaal schoon wil beginnen zodat je zeker weet dat alle devices direct goed in beheer genomen worden en compliant zijn aan het beleid. (Full disk encryptie? Mag een gebruiker zelf local admin zijn op zijn systeem? (een hele discussie op zichzelf)).

Herinner je je dat dataclassificatie beleid nog? Nu we bepaald hebben wat de bedoeling is moeten we dat ook nog zien toe te passen op de berg data die je al hebt.. Het is gemakkelijk om te zeggen dat je alle bestaande data als vertrouwelijk markeert en de gebruikers labels mogen wijzigen als dat nodig is, maar hoeveel impact heeft dat op de werkwijze van de gebruikers? En hoeveel tijd gaat ze dat kosten?

Vragen en uitdagingen genoeg dus, en we zijn pas bij het voortraject.

en dan?

Voorbereidingen klaar? Go!

Alle voorbereidingen zijn getroffen, het dataclassificatie beleid is ten uitvoering gebracht, alle systemen zijn onder beheer. Je nieuwe medewerker vraagt of hij zijn eigen laptop mag gebruiken omdat de resolutie beter voor zijn ogen is.

Eindelijk zijn we dan bij de BYOD vraag aangekomen..

Er zijn nu twee routes, wanneer je er voor kiest om eigen hardware toe te staan (we hebben het even over laptops/pc’s) kan je stellen dat je dit alleen accepteert als de laptop opgenomen wordt in het MDM systeem. De hardware is dan wel nog in eigendom van de gebruiker, maar alles wat er op staat is onder regie van de werkgever. Als je vooraf afspraken maakt over bepaalde hardware eisen (TPM bijvoorbeeld) is er in deze route geen noemenswaardig verschil tussen hardware die de organisatie zelf koopt en hardware van de eindgebruiker.(voor dit verhaal dan).

De tweede route is het scenario waarbij de eindgebruiker niet wil dat zijn/haar laptop wordt opgenomen in het centrale MDM systeem. Over het algemeen vind ik dit een onwenselijke situatie en ik zou ik vragen hebben over waarom hij/zij dat dan niet zou willen. De voornaamste reden zal het privé gebruik van het apparaat zijn en de onwil om daar toegang toe te geven (begrijpelijk). Maar dat wil niet zeggen dat dit scenario niet toch voorkomt en er legitieme use-cases zijn.

Unmanaged BYOD

Deze tweede route brengt ons bij een unmanaged BYOD scenario. Als je de eerdere stappen gevolgd hebt, het beleid en de classificaties in orde zijn en je omgeving voorbereid is zijn er wel mogelijkheden op dit vlak.

Middels conditional acces policies kan er onderscheid gemaakt worden tussen welke systemen en data er benaderd mogen worden door de diverse clients die we kennen (managed, unmanaged, location based enzovoorts).

In het geval van een unmanaged device zou je nog kunnen toestaan dat de webmail gelezen wordt en eventueel ook nog dat documenten met een bepaalde classificatie in de web vorm bekenen en bewerkt kunnen worden. Het downloaden van de data, het installeren van applicaties en het inloggen in gevoelige SaaS systemen is uit den boze op een unmanaged systeem.

Mogelijkheden

Is er dan echt niets mogelijk in het kader van Bring Your Own Device? Zeker wel! Wil je de gebruikers toch grote vrijheid geven op hun eigen devices is er altijd nog de mogelijk om een centrale werkplek op de bouwen vanaf waar alsnog alles gedaan kan worden. Het downloaden van data naar je eigen (dus niet zakelijke, unmanaged) laptop kan nog steeds niet, maar eenmaal ingelogd op het centrale platform (zoals Azure Virtual Desktop, zie ook mijn “Virtual Walled Garden” post) kan je in die volledig beheerde omgeving alles doen wat je met een managed systeem ook zou kunnen.

Dit brengt me dan ook bij een van de (ik denk meest voorkomende) scenario’s waarbij je mogelijkerwijs met grotere aantallen “BYOD” devices in je omgeving te maken krijgt. Wanneer er op grote schaal extra krachten ingehuurd moeten worden voor kortere tijd kan je je afvragen of je hiervoor de nodige devices wil aanschaffen en klaar wil hebben liggen op de plank, of dat je ze misschien wil huren. Deze mensen werken mogelijk ook niet op je eigen kantoren, maar misschien wel exclusief vanuit thuis.

Allemaal factoren waar je verminderd grip op hebt, door deze devices ook niet toe te laten op je netwerk, maar de werkzaamheden gecontroleerd centraal uit te laten voeren hou je optimaal grip op je data en bied je toch de vrijheid om te werken met de tools die passen bij de situatie.

Het gebruikersgemak van Bring Your Own Device

Laptop op een tuintafel
Een werkplek moet je eigenlijk kunnen maken zoals deze bij jou past..

Bring Your Own Device mogelijkheden spreken erg aan op het vlak van gebruikersgemak bij je eindgebruikers. Als ze kunnen werken met systemen die ze kennen, in situaties die bij ze passen, zal er minder snel buiten de zakelijke IT omgeving heen gewerkt worden.

Eerder schreef ik op dit vlak ook al wat over Security Awareness, en in het stuk over de Virtual Walled Garden ging ik in op de mogelijke oplossing die ook op dit vraagstuk pas. Maar ik kan ook niet genoeg benadrukken dat de bewustwording van de gebruikers, en het faciliteren van een comfortabele omgeving waar je als IT verantwoordelijke grip op hebt, cruciaal zijn voor de veiligheid van je data/organisatie.

In het verlengde daarvan zijn we er vanuit security oogpunt dus bij gebaat om een omgeving aan te bieden met net voldoende vrijheden om te voorkomen dat gebruikers dingen gaan doen die we niet willen, maar met voldoende grip zodat we precies weten wat er gebeurt.

Overigens is er mogelijk ook een heel ander probleem dan een inrichtingsvraagstuk als je veel gebruikers hebt die hun eigen spullen willen gebruiken. Het is (zeker ook gezien de situatie op de arbeidsmarkt) aan te raden om na te denken of die goedkope zakelijke laptop nog wel past bij de beleving die je je medewerkers wil bieden.

Microsoft heeft natuurlijk een erg nette Surface lijn beschikbaar, maar je hoeft niet direct zo ver te gaan (alhoewel ze verhoudingsgewijs niet een zo heel duur zijn ten opzichte van de Dell, of HP alternatieven.). Het is in ieder geval wel goed om eens na te denken bij de hardware die je standaard voert, ook hier speelt de beleving van de gebruiker weer een grote rol.

Conclusie?

Of BYOD bij je organisatie/omgeving past is sterk afhankelijk van het soort organisatie dat je bent en het soort data waar je mee werkt. Als de data zeer gevoelig of zeer waardevol is zijn oplossingen waarbij je openingen bied om de data te extracten zonder dat je daar zicht, of controle, over hebt onwenselijk.

Maar zelfs in die scenario’s zijn er ook rollen in je organisatie waarbij meer vrijheid misschien wel passend is. Als je daar dan de juiste voorwaarden voor schept zoals, segmentatie, conditional acces en de vele andere mogelijkheden in dat vlak, is er misschien toch best wel wat mogelijk.

Ook met een centrale werkplek die je optioneel aanbied voor de mensen die dan toch met hun eigen device willen of moeten werken is er best wel ruimte te creëren voor dergelijke situaties.

Mijn advies zou in ieder geval zijn om naast het belang van het beschermen van je omgeving ook goed te kijken naar de belevenis van je gebruikers. Probeer te voorkomen dat ze het idee hebben hun werk niet goed te kunnen doen met de middelen die je ze bied. In deze gevallen zullen ze zelf op zoek gaan naar oplossingen en werkwijzen, en die zijn vrijwel zeker niet in lijn met het beleid dat je hebt vastgesteld.

Boekenkast
Beleid hebben we vaak kasten vol.. Nu de uitvoering nog..

Microsoft Edge vergeet zijn settings

Ik ben denk ik een van de 6 Edge gebruikers in de wereld, maar om de andere vijf dan toch te helpen even een korte post over een vreemd probleem dat ik nu al drie keer gehad heb. Overigens vind ik normaal gezien Edge inmiddels een serieus goed werkende browser. Ik kan iedereen die dat tot op heden nog niet gedaan heeft het warm aanbevelen Edge eens een kans te geven.

Eens in de zoveel tijd wil Edge na een schone installatie van Windows 10 niet naar behoren werken. De settings worden niet onthouden, cookies worden niet goed opgeslagen en je history wordt niet opgeslagen. Dit alles zonder dat je de instellingen van de browser zelf hebt aangepast.

De vorige keren was het steeds even zoeken naar de oplossing en om te voorkomen dat ik de volgende keer weer moet zoeken bij deze de oplossing.

Stappenplan:

Open Command als administrator

CMD Startmenu Windows 10

Klik hier rechts en kies voor openen als administrator

Voer het volgende commando in:

sfc /scannow

SFC Command promt

Reboot je systeem zodra de command promt daar om vraagt. Als het goed is zou het probleem nu verholpen moeten zijn.

Wat doet SFC dan nou precies? Edge is een core onderdeel van Windows en kan dus maar tot op zekere hoogte via de herstel optie via “Apps” (in het settings menu) hersteld worden. Om iets grover te werk te gaan voert SFC (System File Checker) een scan uit van de systeembestanden van Windows en voert waar nodig herstel uit. In het geval van de problemen die ik met Edge ervaar gaat er dus iets mis met de core bestanden van Edge. Geen idee wat de oorzaak is, maar deze oplossing heeft voor mij tot op heden altijd gewerkt.

Mocht iemand een idee hebben waar deze corruptie vandaan kan komen hoor ik het graag, voorkomen is nog altijd beter dan genezen :).

Microsoft Surface Pro 3: Tablet

Ik kan een heel verhaal gaan schrijven over de details van de hardware in de Surface tablet, maar daar zijn anderen een stuk beter in dan mij, dus ik richt me vooral op het gebruik en de behuizing van de tablet. De volledige specificaties vind je hier, de versie die ik gekocht heb is de Core i5 variant met 8 GB RAM en 256 GB SSD.

Als je op internet zoekt naar de Surface Pro reeks dan zie je dat veel van de aandacht gaat naar de kickstand die er voor moet zorgen dat je de tablet ook als een soort laptop neer kan zetten. In de oudere versies waren er een aantal standen beschikbaar, maar de nieuwe versie kan middels van frictie eigenlijk in iedere hoek gezet worden.

Surface-Pro-3 Kickstand

De kickstand doet precies wat het moet doen en zorgt er dus voor dat je de tablet eigenlijk overal wel op een fatsoenlijke manier kan neerzetten. Het is gezien de verdeling van het gewicht tussen de typecover en de tablet wel even een stukje gewenning dat verreweg het meeste gewicht in het scherm zit. Ik ben wel heel benieuwd hoe goed het frictie systeem blijft werken, inmiddels heb ik het idee dat in de platte standen minder goed werkt in het begin.

De behuizing is verder bijzonder degelijk, er zitten geen overdreven kieren tussen het scherm en de randen, er rammelt niets en de knoppen voelen degelijk aan. Ook de connectoren zitten netjes in de rand verwerkt en voelen degelijk aan in het gebruik. Het enige minpunt is dat de behuizing bijzonder krasgevoelig is, ik ben normaal erg zuinig op mijn spullen en heb zelden last van krassen, alleen binnen 2 weken stonden de eerste krassen al op de achterkant van de tablet. Dat is toch wel bijzonder zonde bij een apparaat van deze prijs.

Surface-Pro-3 Kickstand 2

De tablet weegt ongeveer 800 gram en is daarmee ligt genoeg voor het gebruik dat Microsoft met het apparaat voor ogen heeft. Je gaat er niet even lekker mee op de bank zitten om een boekje te lezen, maar voor het schrijven van aantekeningen of het even snel op zoeken van het een of ander werkt het prima. Het formaat zorgt er ook voor dat je de tablet prima mee kan nemen als je even ergens heen loopt en toch onderweg nog even snel wat wil lezen voor je de meeting in gaat.

Qua hardware heb ik de versie net boven het midden segment gekozen, voor mij is opslag en RAM geheugen van belang en dus kon ik niet helemaal uit de voeten met de standaard i5 versie. Door de combinatie van een SSD, een voor een tablet snelle CPU en voldoende geheugen heb ik eigenlijk nog geen performance problemen gehad. Je kan de opslagruimte van de tablet eventueel uitbreiden met een MicroSD kaartje, je moet er dan alleen wel rekening mee houden dat deze niet gemaakt zijn voor het continue beschrijven zoals dat bijvoorbeeld zou gebeuren als je daar intensieve applicaties op zou willen installeren. Vooralsnog heb ik de extra ruimte niet nodig, maar wie weet in de toekomst.

small_surface-pro-3-mobo-2

Spellen waarvoor de grafische kaart geen grote rol spelen doen het allemaal eigenlijk prima tot op heden dus ook op dat vlak heb ik niet heel veel te klagen. Wel merk je dat er verschil is tussen de diverse applicaties op het gebied van de touch interface, in sommige applicaties wordt dit direct als mouse input gezien en anderen lijken de input te negeren. Ik verwacht wel dat dit op termijn beter wordt, maar dit is soms nog wel wat storend.

In veel reviews wordt de connector voor de lader als een grote verbetering ten opzichte van de vorige versie genoemd. Ik heb zelf geen ervaring met de vorige versie, maar de nieuwe variant heeft zo zijn voor en nadelen. Het is een magnetische connector die met een lipje in de behuizing valt, dit maakt het aansluiten op zich gemakkelijker, maar het probleem is dat de connector ook blijft “plakken” als je het lipje naar achter wijst in plaats van in de tablet steekt. Je moet dus even goed opletten dat je connector goed aansluit. Wat wel een enorm pluspunt genoemd kan worden is de USB aansluiting op de adapter, ik heb sinds ik de tablet heb nooit meer de losse lader voor mijn telefoon gebruikt, maar eigenlijk altijd gelijk met de tablet opgeladen via de adapter van de tablet.

Surface-Pro-3 Charger

Dan wil ik het tot slot nog even kort over het scherm hebben. Ik heb nog nooit eerder zo’n goed beeld gezien op een Tablet, onder eigenlijk iedere hoek ziet het er goed uit en de resolutie is enorm voor op een 12″ scherm. Het grote nadeel is echter dat Windows nog niet al te best om kan gaan met hoge DPI schermen. Het probleem zit hem dan eigenlijk niet eens in het OS zelf, Windows 8.1 is prima te gebruiken op een scherm als dit, alleen de een groot deel van de applicaties gaat hier nog niet goed mee om. Je kan Microsoft dit niet volledig aanrekenen gezien zij niet verantwoordelijk zijn voor de ontwikkeling van de applicaties, ze hebben echter wel heel erg lang gewacht voor het OS zelf hier helemaal klaar voor was. In het dagelijks gebruik heb ik hier geen last van, maar soms kom je wat vreemde dingen tegen.

Het volgende deel is het laatste deel en zal een samenvatting zijn van mijn werk-ervaringen met de tablet.

Dit is een vervolg op: MICROSOFT SURFACE PRO 3

Microsoft Surface Pro 3: Pen

De pen is misschien wel het belangrijkste element van het Surface concept van Microsoft. Tablets met losse toetsenborden kennen we al even en deze zijn alhoewel wisselend van kwaliteit ook al wel enige tijd met de diverse Windows versies beschikbaar. Echter een echt goede pen implementatie hebben we nog niet heel vaak gezien. En juist die pen maakt het voor mij mogelijk om (in ieder geval tot dusver) mijn aantekeningen boek volledig overbodig te maken. De pen wordt in tegenstelling tot de Typecover wel altijd meegeleverd en hoeft dus niet los aangeschaft te worden.

Om op een scherm te kunnen schrijven zijn een aantal zaken erg belangrijk, maar vooral de afstand tussen de tip van de pen en de snelheid en accuraatheid van de pen moeten goed zijn. En op deze drie vlakken voldoet de pen perfect. Natuurlijk heb je als je snel over je scherm gaat krassen wat vertraging, maar bij normaal schrijven is dit niet merkbaar. Qua accuraatheid heb ik eigenlijk ook niets op te merken, wel vergt het even wat gewenning om er voor te zorgen dat je de eerste keer dat je gaat schrijven de tip van de pen in de buurt van het scherm moet zijn om van modus te wisselen. Wat ook wel een klein minpunt blijft is dat het scherm natuurlijk erg glad is, dat is eigenlijk nog het enige echt merkbare verschil met echt schrijven.

Gezien de pen drukgevoelig is kan je ook in je aantekeningen nadruk leggen door dikker gedrukte woorden / lijnen te maken simpel door harder te drukken tijdens het schrijven. Dit voelt in het begin overigens wel nog wat tegennatuurlijk. De pen heeft verder een dunne harde tip en lijkt in dat opzicht nog het meeste op een normale Parker ballpoint pen. Qua gewicht is de pen vergelijkbaar met een zelfde formaat (niet-kunststof) Parker pen, wat mij betreft het ideale gewicht.

Voor de aantekeningen gebruik ik OneNote en het systeem is daar dan ook eigenlijk wel voor gemaakt. De knoppen op de pen zijn ingesteld voor gebruik in OneNote, een aantal van de handigheidjes zitten in de onderstaande video (het is verder wel een beetje een aparte video, maar het gaat om het idee).

Gezien ik niet kan tekenen heb ik verder geen ervaring met het gebruik van de pen voor dat doeleinde. Als ik zo naar de andere reviews kijk blijken er wel wat problemen te zijn met de drukgevoeligheid in dergelijke applicaties, maar daar zou door Microsoft aan gewerkt worden.

Het enige echte minpunt van de pen is dat je hem eigenlijk nergens kan laten, op dit moment los ik dat dan maar zo op:IMAG0497

Dit is alleen niet heel erg goed voor de typecover denk ik (op de lange termijn) en wanneer ik de tablet en de typecover aan het gebruiken zijn kan ik de pen daar niet laten zitten. Nou is er een “sticker” meegeleverd die eigenlijke en soort lusje aan de rand van de typecover maakt om de pen in mee te nemen, maar dat ding is echt te lelijk voor woorden en daarbij geeft het niet echt een goed gevoel als je pen aan een sticker hangt. Voor een apparaat van deze prijsklasse hadden ze hier wel even wat beter over na mogen denken.

De pen werkt op batterijen, maar die zouden bij intensief gebruik een maand of 8 mee moeten gaan. We gaan zien hoe lang ze het werkelijk volhouden, maar zelfs al zou ik de AAA batterij eens per half jaar moeten vervangen zou je me daar zeker niet over horen klagen. Verder zit er ook nog een knoopcel batterij in, maar die zou je onder normale omstandigheden nooit moeten hoeven vervangen.

Overall ben ik in ieder geval bijzonder te spreken over de werking van de pen. Ik heb sinds ik de Surface mee naar het werk neem geen enkele aantekening meer op papier gemaakt. Daarbij dien ik dan wel op te merken dat ik op het werk een 24″ scherm op de tablet aansluit, dit gebruik ik dan samen met het scherm van het tablet om zowel Word / Outlook en de aantekeningen gelijktijdig te kunnen zien zodat ik ze kan verwerken. Dit zou ook split screen kunnen, maar de twee schermen oplossing heeft vooralsnog de voorkeur.

Het volgende deel zal verder ingaan op de tablet zelf.

Dit is een vervolg op: MICROSOFT SURFACE PRO 3

Microsoft Surface Pro 3: Typecover

De typecover is min of meer een verplicht aan te schaffen accessoire voor bij je Surface Pro tablet. Alhoewel je op zich ook nog wel een ander los USB of bluetooth toetsenbord zou kunnen gebruiken is de typecover eigenlijk wel een must have. Niet alleen sluit het toetsenbord perfect aan op het tablet, maar het is ook nog een goede screenprotector voor tijdens het transport. Overigens heeft het toetsenbord geen eigen accu en is hij niet draadloos, je kan hem dus alleen gebruiken terwijl deze aan het scherm geklikt zit.

Het bevestigen van de typecover gebeurt middels een aantal mageneten, de klik is erg stevig en hij zal zeker niet snel loslaten. Doordat er een tweede reeks magneten is toegevoegd kan de typecpover onder een kleine hoek gezet worden, iets wat in dit geval een enorme verbetering in het typen oplevert ten opzichte van een geheel vlak toetsenbord.

Surface-Pro-3 Typecover Elevated

De typecover heeft een trackpad en uiteraard een toetsenbord. De trackpad werkt wel aardig, maar is eigenlijk te klein voor dagelijks gebruik. Om die reden gebruik ik eigenlijk ook altijd een losse muis als ik de tablet als laptop aan het gebruiken ben. In de gevallen dat ik de tablet met toetsenbord aan het gebruiken ben terwijl deze op schoot staan gebruik ik eigenlijk altijd de pen als muisvervanger gezien dat net even secuurder werkt.

Het toetsenbord-deel is daarentegen eigenlijk prima, de toetsen hebben een goede “klik” en mogen dan wel net een wat minder stevig aanvoelen dan een vergelijkbaar laptop toetsenbord maar voldoen voor mij prima voor het dagelijkse gebruik. Opvallend is wel dat de toetsen nog redelijk wat geluid maken, dat vergt wel enige gewenning als je voorheen bijvoorbeeld een toetsenbord van een MacBook gewent bent. Verder zijn de toetsen erg glad en lijken ze snel vettig te worden, de tijd zal moeten uitwijzen of dat op de lange termijn een probleem zal zijn.

Het enige echte probleem wat ik tot op heden met de typecover ondervonden heb is het feit dat ik voor een lichte (blauwe) variant gekozen heb. Door de materiaalkeuze van Microsoft wordt de cover erg snel vies, in mijn geval krijgt de lichtblauwe cover na ongeveer 2 weken intensief gebruik een beetje een gelige gloed, en of het nou door het licht komt, of dat het echt vuil is weet ik niet, maar het ziet er niet fris uit.

Gezien je eigenlijk niet om de typecover heen kan had ik liever gezien dat je hem niet los had hoeven kopen. Met een bedrag van 129 euro vind ik hem bovendien stevig aan de prijs, zeker gezien de materiaalkeuze niet optimaal is en ik verwacht dat ik de typecover gedurende de levensduur van de tablet nog wel eens zal moeten vervangen.

In het volgende stuk van mijn “review” zal ik wat verder gaan op het gebruik van de meegeleverde pen.

Dit is een vervolg op: MICROSOFT SURFACE PRO 3