Windows Vista: Betere beveiliging

Een aantal jaren geleden kondigde de toenmalige Chief Software Architect van Microsoft, Bill Gates, aan dat Microsoft een dramatische wending richting veiliger computergebruik ging maken. Men noemde het initiatief 'Trustworthy Computing'. Windows Vista is het eerste desktop besturingssysteem dat is ontwikkeld volgens Microsoft's Security Development Lifecycle, waarin veiligheid voor de computergebruiker voorop staat. De beveiligingsverbeteringen in Windows Vista op een rij.

 

 

Hieronder een toelichting op de belangrijkste beveiligingsverbeteringen van Windows Vista.

 

Microsoft doet er alles aan om hun producten veiliger te maken. De Security Development Lifecycle of SDL bekijkt de veiligheid en vooral de lekken in software van ontwerp tot uiteindelijk product. Zo bestaat een daadwerkelijk SWIAT-team (Secure Windows Initiative Attack Team) dat voortdurend probeert gaten in de Windows Vista-beveiliging te vinden. Minder spectaculair, maar mogelijk efficiënter, zijn de verbeterde procedures voor programmeurs en de verbeteringen in de programmeertalen.

 

Systeem services zijn processen die op de achtergrond draaien en belangrijke functionaliteit verzorgen. Deze services behoren tot de meest favoriete doelwitten van hackers, omdat zij over het algemeen door het systeem worden uitgevoerd met de hoogste privileges (bekend als de LocalSystem-account). Wanneer het een hacker lukt de controle over een service over te nemen kan hij vaak zijn eigen code uitvoeren met de privileges van een systeembeheerder. Voorbeelden van wormvirussen die een service aanvallen zijn Slammer, Blaster en Sasser. Een andere manier om problemen op de computer te veroorzaken is door het laten plaatsvinden van een buffer overrun. Dit komt neer op het sturen van ongewenste of teveel tekens naar een programma dat deze tekens niet kan verwerken. 

Windows Service Hardening voorkomt dat belangrijke services abnormale dingen doen in het bestandssysteem, het register, op het netwerk of andere systeembronnen. Dat gebeurt op een aantal manieren. Om te beginnen wordt simpelweg het aantal aparte services verminderd.

 

Sommige services krijgen minder rechten. Verder wordt per service een service security identifier (SID) toegekend. Deze identificeert elke service en kent een beveiliging toe zodat de service geen dingen doet die hij niet mag.

 

Een aanvullende beveiligingsmethode op systeemniveau is het gebruik van zogenaamde NX-technologie. NX staat voor No eXecute. Het is een technologie waarbij bepaalde delen van het computergeheugen alleen gegevens mogen bevatten. Het wordt zo onmogelijk voor een programma om code uit te voeren via dit geheugen (zoals bij een buffer overrun). Veel moderne processoren ondersteunen NX nu al.

 

Veel huidige Windows-systemen beschikken over gebruikersaccounts met de rechten van een beheerder. Dat is lekker makkelijk, want dan kan de gebruiker alles doen: software en printers installeren, Windows-instellingen wijzigen en zo meer. Vanuit het oogpunt van beheer en beveiliging is dit natuurlijk een slechte zaak. Sterker nog, het kost organisaties aanmerkelijk meer geld om systemen te ondersteunen die door onoordeelkundige gebruikers zijn ontregeld. Dan hebben we het nog niet eens over virussen.

Windows Vista pakt de zaken nu anders aan. Een normale gebruikersaccount heeft geen beheerdersrechten. Zelfs een beheerder die even op het systeem inlogt krijgt de rechten van een standaardgebruiker.

 

Wel is het zo dat de rechten van een normale gebruiker iets zijn uitgebreid, om irritaties te voorkomen. Zo is het gewoon mogelijk de klok in te stellen of een printer toe te voegen. Wanneer beheerdersrechten noodzakelijk zijn, zoals bij het installeren van applicaties of bij bepaalde systeeminstellingen, wordt de gebruiker gewaarschuwd. Hij of zij kan dan toestemming voor het proces verlenen. Beheerders wordt in zo'n geval direct om hun wachtwoord gevraagd. Zij hoeven daardoor geen omwegen als Uitvoeren als te gebruiken.

 

 

Een probleem voor netwerkbeheerders is dat mogelijk niet alle computers voldoen aan alle beveiligingseisen. Denk daarbij aan systemen zonder virusscanner, met verouderde virusdefinities of zonder bepaalde patches.

 

Eigenlijk zou u dergelijke machines geen toegang tot het netwerk moeten verlenen. Toch komen zij voor, vooral bij organisaties met veel notebooks of hen die toegang verlenen aan thuisgebruikers.

 

Met Network Access Protection kunnen netwerkbeheerders regelen dat alleen 'gezonde' computers toegang tot het netwerk krijgen. Potentieel onveilige systemen krijgen de tijd 'gezond' te worden, bijvoorbeeld door virusdefinities te updaten, en mogen dan op het netwerk.

 

Dan is er nog het aloude probleem van het inloggen. Sommige gebruikers hebben nu een te gemakkelijk te raden wachtwoord. Natuurlijk blijft het inloggen met wachtwoorden mogelijk. Windows Vista legt daarnaast de nadruk op het gebruik van smart cards. Een gebruiker krijgt alleen toegang tot een systeem wanneer het kaartje door een lezer wordt gehaald. Hetzelfde geldt voor biometrische controle als een vingerafdruk. Deze toegangsmethoden waren al mogelijk, maar zijn in Windows Vista geïntegreerd via een nieuwe Credential Provider die meer toegangsmogelijkheden tegelijk ondersteunt.

 

In Windows XP kon u al kennismaken met het programma Microsoft Windows AntiSpyware, de voorloper van Windows Defender. Dit gratis programma is bedoeld voor het opsporen en onschadelijk maken van spyware en andere ongewenste software als adware, keyloggers en rootkits. Volgens onderzoek komt dit soort software voor op meer dan tweederde van alle computers. Dat vormt zowel een persoonlijk als een bedrijfsrisico. Microsoft was niet in het bezit van een antispyware oplossing en kocht daarom in 2004 Giant Company Software.

 

In 2005 werd Windows AntiSpyware gelanceerd. Toen bleek hoeveel crashes aan spyware te wijten waren, besloot Microsoft de applicatie standaard op te nemen in Windows Vista. Daar komt u het programma tegen onder de naam Windows Defender. Het is geen oplossing voor het bestrijden van (worm)virussen. Daarvoor zijn voldoende goede producten op de markt.

 

 

Een firewall is een noodzakelijk stukje software om indringers, vooral via internet, buiten het systeem te houden. Windows-versies voorafgaand aan Windows XP beschikten niet over een ingebouwde firewall. De gebruiker moest zelf een commercieel firewall-programma installeren of erg veel geluk hebben.

 

In Windows XP is een firewall opgenomen, maar deze staat standaard niet aan (behalve in Service Pack 2). Bovendien was er enige kritiek op deze firewall omdat hij alleen inkomend netwerkverkeer bekijkt en niet let op uitgaand verkeer.

 

In Windows Vista zit dan ook een verbeterde firewall. Deze staat standaard aan en bevat filtering voor inkomend en uitgaand verkeer. Het systeem kijkt op een slimme manier naar het gebruik van de computerpoorten en voorkomt ongewenst verkeer, terwijl al het legitieme verkeer wordt doorgelaten. De enige uitzondering hierop is een instelling voor systeembeheerders: zij kunnen toepassingen zoals peer-to-peer sharing of messengers blokkeren.

 

Goed, u heeft dus een uitstekend inlogsysteem, een firewall, netwerkbescherming en methoden om te voorkomen dat hackers via internet op uw pc terecht komen. En dan wordt de hele computer gestolen. Op dat moment hebt u niets meer aan die mooie functies, want een kwaadwillende haalt gewoon de harde schijf uit de pc en sluit hem elders aan. Zo liggen uw bedrijfsgegevens alsnog op straat. Of niet? Juist voor dit soort scenario's heeft Microsoft BitLocker Drive Encryption ingebouwd. Het is een door de hardware gestuurde versleutelingsmethode die de gegevens op uw systeem beschermt. Het hele Windows-volume wordt versleuteld zodat de harde schijf waardeloos is zonder de juiste toegangscode.

 

BitLocker test het systeem zeer vroeg in de opstartprocedure en kan waarnemen of er met de computer geknoeid is. De sleutels kunnen worden opgeslagen in de Active Directory, in een apart bestand of op een USB-key. Het is ook mogelijk het bootproces te onderbreken totdat de gebruiker een PIN-code invoert. Een versleutelde harde schijf is niet voor iedereen. Daarom wordt BitLocker Drive Encryption alleen geleverd bij Windows Vista Enterprise en Ultimate.

 

Beveiliging is ook een belangrijk onderdeel van een internet-browser. Immers, juist de browser vormt vaak een gemakkelijk doelwit voor hackers. U hoeft maar toevallig op een verkeerde site te komen en het is mis. Daarom voorkomt Internet Explorer 7, onderdeel van Windows Vista, dat hackers kunnen inbreken op de browser of het systeem.

 

Internet Explorer Protected Mode zorgt dat de browser met weinig gebruikersrechten draait. Zelfs als iemand erin slaagt de browser over te nemen, dan nog kan het weinig kwaad. De browser kan programma's uitvoeren in de vorm van ActiveX-componenten. Deze worden nu niet zomaar geladen. Wanneer een website een ActiveX-control wil downloaden en starten krijgt u daarvan een melding. De gebruiker moet op deze melding klikken en expliciet toestaan de ActiveX-component uit te voeren.

 

Daarnaast probeert de browser te voorkomen dat u ongewild persoonlijke gegevens weggeeft. Daartoe bevat Internet Explorer 7 een phishing filter. Dit filter kent adressen van malafide sites en waarschuwt u hiervoor. Ook wordt elke bezochte site onderzocht op de karakteristieken van een phishing-website.

 

Een verdere verbetering is de beveiligingsbalk. In eerdere versies van Internet Explorer zag u een gesloten hangslotje bij het bezoeken van beveiligde sites. Bij Internet Explorer 7 wordt de beveiliging nadrukkelijker in beeld gebracht. Zo is het voor de gebruiker direct duidelijk of de site, zoals die van een bank, wel met de juiste beveiligingscertificaten werkt.