Common Criteria-certificatie: Microsoft Windows-platformonderdelen

Sinds 1985 gebruikt de Amerikaanse federale overheid een reeks evaluatiecriteria om de beveiliging van computersystemen te beoordelen. Veel overheidsinstellingen en sommige bedrijven uit de private sector (zoals financiële dienstverleners en farmaceutische ondernemingen), kopen uitsluitend systemen die aan specifieke niveaus van deze criteria voldoen. De welbekende Class C2 rating van de TCSEC was zo'n niveau. De Europese tegenhanger van de TCSEC, ITSEC, stelde een vergelijkbare rating op, de F-C2/E3. Zowel de TCSEC als de ITSEC zijn inmiddels vervangen.

 

Om recht te doen aan steeds geavanceerdere technologieën en vanwege het bestaan van een internationale markt voor veiliger IT-producten, besloot een aantal landen om een nieuw evaluatieproces voor beveiliging te ontwerpen, die bekend staat als de Common Criteria for Information Technology Security Evaluation (doorgaans Common Criteria of CC genoemd). De CC is vastgelegd en wordt onderhouden door een internationaal lichaam dat bestaat uit landen die de CC-evaluaties erkennen. De CC is eveneens erkend door de International Standards Organisation (ISO) als ISO Standaard 15408.

 

Met CC worden productklassen (zoals besturingssystemen) geëvalueerd aan de hand van de beveiligings-, functie- en verzekeringsvereisten van beschermingsprofielen (protection profiles). Beschermingsprofielen zijn ontwikkeld voor besturingssystemen, firewalls, smart cards en andere producten die aan beveiligingseisen moeten voldoen. De Controlled Access Protection Profile (CAPP) bijvoorbeeld, heeft betrekking op besturingssystemen en vervangt de oude Class C2 van de TCSEC. De CC specificeren een serie EAL's voor geëvalueerde producten. Een hogere EAL-certificatie betekent dat men er meer op kan vertrouwen dat de beveiligingsfuncties van een product correct en effectief zullen worden uitgevoerd.

 

Microsoft is al sinds het begin van de jaren negentig actief met beveiligingsevaluatie en eerdere versies van Microsoft-producten zijn geëvalueerd onder de TCSEC en ITSEC. De evaluatie van Microsoft Windows 2000 onder de CAPP met EAL 4 is eind 2002 afgerond. De testen van de huidige generatie Microsoft Windows-platformproducten zijn onlangs voltooid. Als resultaat daarvan beschikken deze producten nu over het EAL 4 + met ALC_FLR.3 stempel (assurance life-cycle flaw remediation .3), conform CAPP. Deze certificaties dekken de breedste verzameling real-world scenario's en de hoogste evaluatieniveaus ooit.

 

Het bestaan van de Common Criteria is van belang voor iedereen die IT-systemen gebruikt, uitrolt en beheert. Ten eerste biedt de CC-certificatie een bepaald kwaliteitsniveau, door klanten onder meer in de gelegenheid te stellen om een consistente, stringente en onafhankelijk geverifieerde set van evaluatie-eisen voor hun IT-aankopen toe te passen. Hoewel CC-certificatie geen garantie biedt dat een product gevrijwaard is van beveiligingsproblemen, biedt het toch meer zekerheid door een objectief proces dat verzekert dat een product werkt zoals gedocumenteerd is en dat de fabrikant ervan het product in de markt ondersteunt met herstelprocessen op het moment dat een beveiligingsprobleem is vastgesteld.

 

In het geval van Microsoft wordt de productkwaliteit ook verzekerd door de Security Development Lifecycle (SDL), een proces dat Microsoft gebruikt voor de ontwikkeling van veiliger software. SDL omvat een serie beveiligingsgerelateerde activiteiten en producten voor elke fase van Microsofts softwareontwikkelproces. SDL is reeds zeer effectief gebleken bij het minimaliseren van het aantal softwarefouten dat in real-world scenario's wordt ontdekt. SDL en CC vormen een aanvulling op elkaar en bieden klanten belangrijk verbeterde en extern bevestigde productbeveiliging en kwaliteit.

 

Ten tweede biedt het CC-programma klanten een schat aan informatie, waarmee zij de geëvalueerde producten veiliger kunnen implementeren en gebruiken. Hoewel Common Criteria-certificatie slechts een van de vele factoren is die bijdragen aan een effectieve beveiliging, kunnen verkopers de kansen die door CC worden geboden aangrijpen om hun klanten te helpen veiliger IT-systemen te bouwen.

 

De rest van dit document bespreekt de belangrijkste voordelen van de CC en gaat vervolgens in meer detail in op de specifieke evaluaties die zijn uitgevoerd op de Microsoft Windows-platformproducten. Het document besluit met informatie over hoe klanten hun configuratie- en implementatieplannen kunnen verbeteren door gebruik te maken van de informatie van de CC-evaluatie.

 

De landen die de CC gebruiken, doen dat omdat zij erkennen dat het bestaan van een gemeenschappelijke verzameling IT-beveiligingsstandaarden 'de beschikbaarheid van geëvalueerde security-enhanced IT-producten' zal verbeteren (1). Deze landen erkennen ook dat de Common Criteria bijdragen aan een groter consumentenvertrouwen in IT-productbeveiliging en dat de CC de 'doelmatigheid en kosten van het evaluatie- en certificatieproces zal verbeteren' (2).

 

De CC helpt om klanten geïnformeerde beveiligingsbeslissingen op verschillende manieren te laten nemen:

 

 

 

Door een gedetailleerde set beveiligingsstandaarden te bieden, creëert de Common Criteria in feite een 'beveiligingstaal', die zowel fabrikanten als consumenten begrijpen. Fabrikanten kunnen deze taal gebruiken om de beveiligingsmogelijkheden van hun producten te beschrijven en aan te geven welke Common Criteria-evaluaties hun producten hebben doorlopen. Op dezelfde manier kunnen consumenten deze taal gebruiken om hun beveiligingsvereisten te beschrijven en te communiceren. Door deze heldere taal kunnen fabrikanten producten ontwerpen, die precies op deze eisen aansluiten.

 

Daarnaast stelt de Common Criteria-taal verkopers in staat om hun IT-producten zo te ontwerpen, dat zij eenvoudig kunnen aantonen dat deze producten voldoen aan gespecificeerde beveiligingseisen. Het evaluatieproces maakt het mogelijk dat hun productbeveiliging geëvalueerd wordt op een consistente en betekenisvolle manier door een onafhankelijke derde partij.

 

Microsoft heeft de Common Criteria vanaf het begin van het programma ondersteund en omarmd. Microsoft heeft de Microsoft Windows-platformproducten voorgedragen voor evaluatie door de Science Applications International Corporation (SAIC), een onafhankelijk instituut voor evaluatie onder de Common Criteria. Microsoft en SAIC hebben eerder ook al samengewerkt. SAIC was verantwoordelijk voor EAL 4-evaluatie van Windows 2000 en de TCSEC Class C2-evaluaties van Microsoft SQL Server 2000 en Windows NT 4.0.

 

Om beter te begrijpen hoe EAL 4 past binnen de zeven EAL-niveaus, is het nuttig om te weten dat de EAL-niveaus 5 tot 7 van de Common Criteria gericht zijn op de evaluatie van producten met gespecialiseerde beveiligingseisen voor de overheid. Daardoor zijn deze niveaus weinig relevant voor de beoordeling van commerciële producten. EAL 4 vertegenwoordigt derhalve het hoogste niveau voor evaluatie van 'marktproducten'.

 

De Microsoft Windows-platformproducten hebben na evaluatie hetzelfde beveiligingsniveau toegekend gekregen als Windows 2000, te weten EAL 4 + uitgebreid met ALC_FLR.3. Vergeleken met Windows 2000 hebben de huidige Microsoft Windows-platformproducten echter belangrijke verbeteringen ondergaan op het gebied van beveiliging, waardoor deze nu ook op de volgende gebieden geëvalueerd worden:

 

Smart Card Logon 
Microsoft Windows-platformproducten maken two-factor authenticatie-oplossingen mogelijk. Daardoor zijn systemen niet langer uitsluitend afhankelijk van wachtwoordgebaseerde authenticatie. Dit kan de overhead verminderen die gepaard gaat met wachtwoordbeheer en tegelijk de algemene beveiliging verbeteren.

 

Integratie van public key infrastructure (PKI) en public key certificaatuitgifte
De Windows Server 2003 Certificate Server is een uitgever en beheerder van publieke sleutelcertificaten voor de volgende, op Common Criteria geëvalueerde public key beveiligingsservices: digitale handtekeningen, TLS/SSL-authenticatie voor webverkeer, IP-beveiliging, smart card logon en het versleutelen van bestands-, systeem-, gebruikers- en herstelcertificaten. Certificaattoekenning voor gebruikers en machines die reeds gedefinieerd zijn in de Windows-domeinen gebeurt automatisch. Dit verbetert de effectiviteit van een Common Criteria- geëvalueerde PKI- en public key certificaatbeheeroplossing binnen een bedrijf.

 

Geïntegreerde firewall
De ingebouwde firewall is standaard ingeschakeld in Windows XP en Windows Server 2003. De firewall ondersteunt netwerken met de IPV4- of IPV6-protocollen, die beide beschikbaar zijn in de geëvalueerde Windows XP- en Windows Server 2003-configuraties.

 

Webserver met Internet Information Services (IIS) 6
Windows Server 2003 bevat de IIS 6 Webserver, die geautoriseerde gebruikers laat communiceren met gehoste services op basis van breed ondersteunde webtechnologieën zoals HTTP/HTTPS en Web Document Authoring and Versioning (WebDAV). Het ontwerp in de geëvalueerde configuraties scheidt services op basis van procesgrenzen, wat helpt om de maximale betrouwbaarheid en beveiliging van de webserver te bereiken.

 

WebDAV Redirector
Met WebDAV Redirector kunnen bestanden die zijn opgeslagen in webmappen worden versleuteld met de Encrypting File Service (EFS). Als een client een schijf aankoppelt op een WebDAV-toegangspunt op een remote server, worden de bestanden lokaal versleuteld op de client en vervolgens verzonden als een ruw versleuteld bestand naar de WebDAV-server, gebruikmakend van een HTTP PUT-opdracht. Op dezelfde manier worden versleutelde bestanden die worden gedownload naar een client verzonden als ruwe versleutelde bestanden door middel van een HTTP GET-opdracht en lokaal op de client ontsleuteld. De toevoeging van WebDAV in de Windows XP en Windows Server 2003 geëvalueerde configuraties betekent dat klanten een extra optie hebben om te voorkomen dat teksten worden blootgesteld aan eventuele nieuwsgierige ogen op de onderliggende transportnetwerken. 
 
Windows Security Center Service 
Windows Security Center Service is een dienst die de status van de Windows-firewall op Windows XP en Windows Server 2003 bewaakt. Deze service biedt de gebruiker ook een visuele melding wanneer het ontdekt dat de status van de Windows-firewall is veranderd.

 

Verbeteringen aan de Domain Controller
De vorige Windows 2000 Common Criteria-evaluatie bekeek ook de Domain Controller. De Windows Server 2003 Domain Controller is verbeterd sinds Windows 2000 en deze verbeteringen zijn ook toegevoegd aan de Windows Server 2003 geëvalueerde configuraties. Voorbeelden van deze geëvalueerde verbeteringen zijn cross-forest trust, constrained delegation en Kerberos protocol-transitie.

 

Cross-forest trust is een nieuw trust-type in Windows voor het beheren van de beveiligingsrelatie tussen twee forests. Dit nieuwe vertrouwenstype staat alle domeinen in een forest toe om alle domeinen in een ander forest te vertrouwen, via een enkele vertrouwenskoppeling tussen de root-domeinen van twee forests.

 

Met constrained delegation kunnen beheerders de delegation tot een specifieke service beperken en kunnen ze de specifieke netwerkbronnen controleren die de service kan gebruiken.

 

Het mechanisme voor Kerberos protocol-transitie maakt het mogelijk dat een service een op Kerberos gebaseerde identiteit voor de gebruiker aanneemt, zonder het wachtwoord van de gebruiker te kennen en zonder dat de gebruiker zich moet authenticeren met behulp van Kerberos. Op deze manier kan een gebruiker dus worden geauthenticeerd met een alternatieve authenticatiemethode en vervolgens een Windows-identiteit verkrijgen, afhankelijk van het gevoerde beveiligingsbeleid.

 

Certificaatservices
In toevoeging op de platformevaluatie en -certificatie van de PKI- en certificaatuitgiftecomponenten onder de CAPP, heeft Microsoft ook de Windows Server 2003 Certificate Server onder de CIMC Security Level 3 Protection Profile geëvalueerd. De Enterprise- certificaatautoriteit is geëvalueerd onder de extra beveiligingsvereisten die specifiek zijn voor dit profiel, bedoeld voor klanten die een zeer sterk beveiligde uitgifte-infrastructuur vereisen, voor omgevingen zoals krachtige authenticatie, veilige webservices en smartcards.

 

De volgende Microsoft-producten zijn eveneens onlangs gecertificeerd:

 

 

Eerdere EAL 4-certificaties zijn ook uitgereikt voor Microsoft Windows 2000 Professional en Microsoft Windows 2000 Server en Advanced Server.

 

Een van de belangrijkste voordelen van de Common Criteria-certificatie is dat het een richtlijn biedt voor gebruikers en beheerders en die de ingebruikname en het operationeel beheer van Microsoft Windows-platformproducten in een zeer veilige netwerkomgeving vereenvoudigt. Om die reden heeft Microsoft er alles aan gedaan om de evaluatiegegevens die volgens de Common Criteria zijn verzameld, op een bruikbare manier te presenteren.

 

Als resultaat hiervan hebben klanten de beschikking over specifieke bronnen, die aanbevelingen doen op het gebied van architectuur en configuratie en die een aantal 'best practices' beschrijven.

 

Microsoft is er alles aan gelegen om de beveiliging van zijn producten en services te optimaliseren. Als onderdeel daarvan is Microsoft een krachtig pleitbezorger van het Common Criteria- certificatieprogramma en doet er alles aan om te verzekeren dat zijn producten de eigenschappen en functies bevatten, die vereist zijn voor de Common Criteria Protection Profiles, en door de afgeronde Common Criteria-certificaties van Microsoft-producten.

 

Deze inspanningen zijn geworteld in de overtuiging dat het Common Criteria-evaluatie- en certificatiesysteem een betrouwbare, internationaal erkende methode is, waardoor consumenten kunnen vertrouwen op de beveiliging van IT-producten. Door duidelijke, robuuste beveiligingsstandaarden te definiëren en een onafhankelijk evaluatieproces van IT-beveiliging op te zetten, maken Common Criteria de voordelen en doelmatigheden duidelijk, die beveiligde computeromgevingen aan individuen, bedrijven en overheden kunnen bieden.

 

Zie de volgende (Engelstalige) links voor meer informatie.

 

 

 

(1) De volgende landen nemen deel aan de Common Criteria: Australië, Oostenrijk, Canada, Tsjechië, Finland, Frankrijk, Duitsland, Griekenland, Hongarije, Israël, Italië, Japan, Nederland, Nieuw-Zeeland, Noorwegen, Zuid-Korea, Singapore, Spanje, Zweden, Turkije, Verenigd Koninkrijk en de Verenigde Staten. Meer informatie over de Common Criteria en de deelnemende landen.

 

(2) Arrangement on the Recognition of Common Criteria Certificates in the Field of Information Technology Security, Preamble (May 2000).