Nieuwe beveiligingsmethodes in Windows Vista

[Martijnc]

Dit artikel gaat niet zozeer over de grafische wijzigingen in Windows Vista, het zal enkel het beveiligingsaspect belichten. Je hebt waarschijnlijk al eens iets gehoord over de nieuwe Windows; Microsoft belooft ons heel wat, echter is het nieuwe besturingssysteem al meermaals uitgesteld en nog meer op een minder positieve manier in het nieuws geweest. Windows Vista heeft al op veel negatieve kritiek mogen rekenen, zowel grafisch als “onder de motorkap”. Maar nog meer heb je nieuws gehoord over beveiligingslekken in Windows XP, daarom heeft Microsoft heel wat nieuws in Windows Vista gestoken en ik zal enkele belangrijke vernieuwingen bespreken.

Een besturingssysteem is véél ingewikkelder dan de meeste mensen denken, het is net zoals een auto, je weet alleen wat je ziet. De meeste mensen zijn blij als het er lekker uitziet en goed werkt. Er wordt enkel door een aantal mensen “onder de motorkap” gekeken, daar bevindt zich heel wat. Een besturingssysteem bestaat uit enorm veel verschillende componenten, als je ergens iets wijzigt heeft dit waarschijnlijk een gevolg bij een ander component. Ik zal de indeling van het besturingssysteem een beetje oppervlakkig proberen uit te leggen.

Op de afbeelding zie je een het besturingssysteem, het middelste deel is de kernel, dit is de basis van alles, van hieruit wordt alles aangestuurd. Hier nestelen zich eveneens de beruchte “rootkits”, deze zitten tusen de kernel en de gebruiker en kunnen gegevens filteren en zo zichzelf verbergen. Daarrond zitten de services, deze hebben rechten tot de kernel en kunnen daar alles veranderen, ze draaien onder LocalSystem en hebben volledige rechten. Daarrond komen de administrators, deze groep heeft ook toegang tot de kernel en kan daar ook alles wijzigen. De schil daarrond heeft beperkte rechten en heeft geen toegang tot de kernel en kan dus ook niks wijzigen.

In Windows Vista hebben ze dit volledig herbekeken en de schillen opgedeeld waar ze het nodig vonden.
De services zijn opgedeeld in 2 delen, er zijn services die nog steeds onder LocalSystem draaien en dus volledige rechten hebben, echter zijn alle services herbekeken en is er onderzocht of ze wel echt toegang tot de kernel nodig hebben. Services die dat nodig hebben krijgen dat, de andere hebben die rechten niet meer. Dit is alleen voor de standaard services in Windows Vista, services van derde partijen zoals virusscans hebben dat niet, hier is dat een “best practice” voor de programmeur die zijn service moet opdelen en zelf moet zeggen welke al dan niet toegang heeft tot de kernel.

Wat is er nog nieuw? De administrators zijn ook opgedeeld, onder Windows XP is het zo dat wanneer een gebruiker zich aanmeldt, hij een lijst meekrijgt met taken die hij wel of niet mag uitvoeren, indien deze gebruiker iets wil doen, word er met dat certificaat vergeleken. In Windows Vista komt daar verandering in, als een gebruiker zich aanmeldt krijgt hij nog steeds die lijst, maar daarna word die lijst opnieuw verdeeld in enerzijds taken die een gewone gebruiker voortdurend doet en anderzijds dingen die maar af-en-toe gedaan worden. Je blijft ook niet de hele dag met de hamer rondlopen omdat je daarstraks een schilderij hebt opgehangen. Wat houden die taken in? Je kan nog steeds programma’ s draaien, lettertype’ s toevoegen en andere noodzakelijke dingen. Wil je echter de tijd veranderen dan zegt Windows dat je daar geen rechten toe hebt, hij vertelt erbij dat je die rechten tijdelijk kan inschakelen om de handeling toch te doen, hierbij moet je dus één keer meer klikken, je kan in de policy instellen dat je je wachtwoord moet ingeven. Handelingen die dit vereisen zijn gemarkeerd met een rood schildje.

Er werd ook een stuk virtualisatie toegepast op de program files, als je een oud programma hebt dat nog ini-files naar de program files wil schrijven, komt dat niet in c:\program files terecht maar in de virtuele program files, deze zijn account gebonden. Dit is echter alleen voor oude applicaties, indien je een programma wil installeren zal Windows vragen of hij je daar rechten voor wil geven. Indien het programma niet digitaal is ondertekend zal er tevens een rode melding bij verschijnen.

In de nieuwe Windows zit ook een Parental Control ingebakken. Hiermee kan je webcontent filteren en anderen hun handelingen opslaan, je kan zelf manueel websites toevoegen en verschillende niveau’s instellen, je kan ook manueel content blokkeren.
Ook bevat het een functie waarmee je kan instellen welke spellen niet gespeeld mogen worden, je kan hier ook verschillende niveaus kiezen of zelf manueel tientallen speltypes blokkeren.
Je kan ook applicaties blokkeren zodat bepaalde bestanden niet gestart kunnen worden, dit kan handig zijn tegen de spyware en virussen, als je een verdacht bestandje actief ziet maar niet weet waar het zit kan je hier instellen dat dat niet gestart mag worden.
Zoals al gezegd kan je logs bekijken, deze bevatten informatie over bezochte website’ s, gespeelde spellen, instant messaging, ….

De meeste onder ons kennen waarschijnlijk nog wel Blaster, dit virus maakte misbruik van de RPC service in Windows, ze hebben hier lessen uitgetrokken en de volledige structuur van de services herbekeken. Ik heb al eerder vernoemd dat niet meer alle services draaien onder LocalSystem en dus ook niet meer aan de kernel kunnen. In Windows XP service pack 2 draait nog het grootste deel van de services onder LocalSystem, in Windows Vista zijn er nog maar enkele die deze rechten hebben. Ook is er gekeken of de services verbinding met het internet vereisen, indien ze dit niet nodig hebben kunnen ze ook geen verbinding maken met het internet, er zijn hier 4 categorieën:

• services die op geen poort luisteren en dus geen verbinding met het internet mogen maken
• services die op een vaste poort luisteren en ook alleen die poort mogen gebruiken
• services die op instelbare poorten luisteren, de poorten worden automatisch in de Firewall aangepast als deze in de service gewijzigd worden
• en als laatste: services die op variabelen poorten luisteren, deze hebben volledige toegang tot het internet.

Er wordt nu ook gewerkt met SID, dit zijn security identifiers waardoor er nu ook ACL’ s (Access Control Lists) kunnen worden toegepast op services.

De firewall in Windows Vista is dezelfde die we kennen uit Windows XP service pack 2, alleen zijn er in Vista enkele nieuwe features toegevoegd op basis van feedback van klanten. Daarom word nu zowel inkomend als uitgaand verkeer gefilterd. Je vind hem opnieuw onder configuratiescherm bij Security Center. Je kan hier zelf kiezen welke poorten en applicaties je wilt blokkeren. Je kan dit apart instellen per domein, je kan bv instellen dat op het domein van je werk bepaalde poorten wel openstaan die dan als je thuis zit terug dichtgegooid worden.
Het Security Center heeft ook een kleine update gekregen, in plaats van virusbescherming staat er nu malware bescherming. Die is opnieuw ingedeeld in zowel virus - als spyware – bescherming. Standaard zit er in Windows Vista Windows Defender, je kan hier echter ook andere programma’ s laten monitoren.

Ook heeft Microsoft “Code integrity” toegevoegd aan Windows Vista, dit is een extra beveiliging tegen malware en virussen. Alle software die geladen wil worden met Windows wordt gecontroleerd. Klopt er iets niet, dan zal het bestand niet geladen worden. Ook wordt de opstartprocedure zo gecontroleerd. Er word een hash berekend van alle bestanden die geladen worden, die worden vergeleken met de originele hash, als deze niet overeenkomen word het bestand niet geladen, het is dan echter mogelijk dat Windows niet meer start omdat er een deel niet geladen wordt vanwege een code integrity probleem. Deze problemen kunnen worden opgelost door middel dan de Windows cd/dvd die opnieuw bootable is met een uitgebreide herstelconsole.
Alle Windows bestanden hebben een hash, als die bestanden vervangen worden door malware klopt de hash niet meer en word het bestand niet geladen. De drivers die door WHQL gecertificeerd zijn hebben ook een hash en mogen dus geïnstalleerd worden, voor de drivers die niet digitaal ondertekend zijn bestaat er een policy waarmee je zelf kiest of je deze al dan niet installeert. Bestanden van derde partijen hebben deze beveiliging niet omdat code integrity is ontworpen voor Windows Vista zelf.

Iets wat daar bijhangt is Mandatory Integrity Control dit is niet hetzelfde, code integrity controleert de code enkel bij het inladen. MIC zorgt ervoor dat code met een lage integriteit (die zich onderaan het schema bevindt), niet kan praten met een code met een hogere integriteit. Zo kunnen services die onder LocalSystem draaien praten met services die daar niet meer in draaien maar niet andersom. Waar de meeste applicaties draaien en hoe dat eruit ziet, ziet u op de afbeelding.

Ik heb in het artikel al eerder Internet Explorer 7 vernoemd, deze draait vanaf nu onder low rights, dit wil zeggen dat deze nog minder kan dan de gebruikers zonder administratieve rechten. Dit heeft als voordeel dat er enkel naar de tijdelijke internet bestanden geschreven kan worden en zo dus stille installaties van malware vermeden kunnen worden. Het nadeel is dat je als je een bestandje wilt downloaden, je dat niet rechtstreeks op je desktop kan plaatsen. Daarom is Internet Explorer 7 opgedeeld in verschillende processen op de verschillende niveaus. Als je dat bestandje downloadt, komt dat eerst in de tijdelijke mappen en word daarna pas op je desktop of in een van de “hogere” mappen geplaatst. Ook hier wordt een beetje virtualisatie toegepast, indien er naar een map of register geschreven moet worden, komt dat in virtuele mappen. In het register is daar een speciale sleutel voor voorzien.

Iets volledig nieuws is Bitlocker ™, dit is enkel beschikbaar in 2 versies van Windows Vista, Home users hebben dit niet en dus zal ik daar ook niet te diep op ingaan. Bitlocker is een methode om je harde schijf te encrypten en zo je data te beschermen. De digitale handtekeningen om alles terug te decoderen worden opgeslagen op een TPM chip, je kan deze ook op een usb-stick zetten. Ben je je certificaat kwijt, is alle data verloren, dit is een off-line beveiligings-feature. De partitie is tevens ook onbereikbaar voor andere besturingssystemen, ook Windows XP herkent dit niet en zal vragen om te formatteren, wat niet zo’n goed idee is.

Jullie allen bekend is Microsoft Antispyware, ook deze zit standaard in Windows Vista ingebakken, je vind hem hier wel onder de naam Windows Defender, met het programma is heel wat gebeurd sinds de overname van Giant. Het programma was gemaakt in Visual Basic, het is door Microsoft herschreven in C++ en C-Sharp. De User Interface (UI) is aangepast zodat er een duidelijker overzicht is, de malware wordt netjes in een lijstje aangeduid en alle sporen staan er bij. Er is ook een functie waarmee je alle opstartprogramma’ s kan bekijken en waar deze zich bevinden. Ditzelfde geldt voor de lopende processen, je hebt je altijd al afgevraagd waarom de svchost.exe er vijf maal tussen staat? Dit is de executable die zorgt dat services verbinding kunnen maken met het internet. Je ziet in Windows XP echter niet welke service dat nu is, in Windows Defender zie je dat nu wel. Ook wordt de Winsock provider in het oog gehouden.

Ook iets helemaal nieuw is dat je apparaten kan blokkeren, dit is een soort extra offline bescherming zodat er bv. geen usb-sticks kunnen worden ingeplugd en zo bedrijfsinformatie naar buiten kan. Je kan apparaten blokkeren op Class ID en Device ID, deze vind je onder apparaatbeheer. Bij opties van een bepaald apparaat kies je voor het nieuwe tabblad “Details” hier vind je dan de hardware ID, die bestaat uit een VENdor code, en een DEVice code. In Depolicy’ s kan je die hierop blokkeren, ook vind je daar de Class ID waardoor je alle printers enz kan blokkeren. Heb je echter een onbekend apparaat dan kan je op pcidatabase.com de hardware ID ingeven en kijken wat het juist is.

Hiermee zijn we aan het laatste puntje gekomen, Netwerk Access Protection. Dit houdt in dat computers die inloggen op het netwerk eerst in een quarantaine netwerk komen, hier wordt gecontroleerd op bepaalde eisen zoals een virusscan, de laatste updates, staat de firewall aan, is er anti-spywaresoftware en zijn ze voorzien van de laatste patches. Is dit niet zo, moet hij dat eerst in orde brengen. Pas als alles in orde is, kan men verbinding maken met het netwerk. Dit soort techniek bestaat al langer voor VPN klanten, het is dus niets nieuws, alleen zit het nu ook ingebakken in Windows.

Hiermee zijn we aan het einde gekomen van dit artikel, ik hoop dat je nu wat meer weet over de nieuwe beveiligingsmethodes die gebruikt worden in Windows Vista, zoals je ziet is het voorzien op zowel off- en online bedreigingen en tegen de meest voorkomende kwaaltjes.

Heb je nog vragen? Vuur ze af!

[compuchrisje]

Martijn, knieval en zwaardslag, knap werk!

[Wayne]

Knap werk.

[spruit]

nice martijn

[Milo]

Martijn ...... thx man .
Nice en overzichtelijk ... Super voor mensen die nog géén Vista onder hun ogen (pollekens) hebben gehad

[VK.]

Windows vista, werken alle programa's van xp daar oook op?

Photoshop, Grafishe programma's, dvd copy, games, dreamwaver etc etc

[Milo]

ik vrees ervoor ... Een nieuwe Os vereist andere en zwaardere programma's.
Is altijd al zo geweest . Spijtjg

[dikkeveertiger]

Met dank aan MartijnC voor het artikel: leuk om te lezen ... verhelderend

mooi

[gwenn]

op hoeveel mhz moet je prosesor zijn om deze op te laten draaien

[Jelle]

op hoeveel mhz moet je prosesor zijn om deze op te laten draaien

Een 800Mhz processor is het minimum. De minimale systeemvereisten kan je hier lezen. Om te checken of je pc Vista aan kan, kan je het programma Windows Vista Upgrade Advisor gebruiken