Microsoft belooft betere lapmiddelen

Huidige acht mechanismen moeten terug naar twee

Microsoft belooft beterschap betreffende het aanleveren van lapmiddelen voor zijn software. Zo wil de softwareproducent zijn acht patch-mechanismen terugbrengen naar twee; één voor applicaties en één voor besturingssystemen.

"95 procent van alle computeraanvallen vindt plaats nadat er een lapmiddel is uitgebracht", zegt Scott Charney, hoofd van Microsofts Trustworthy Computing-initiatief.

Dit zegt Scott Charney, hoofdstrateeg voor het Trustworthy Computing-initiatief van de Windows-leverancier. Hij sprak vorige week op de Teched-conferentie in Dallas (Texas). "95 procent van alle computeraanvallen vindt plaats nadat er een lapmiddel is uitgebracht voor een bekend software-gat", aldus Charney.

Lapmiddel oplappen De 'wapenwedloop' van beveiligingsgaten en lapmiddelen gaat vooralsnog gewoon door. Begin deze maand verscheen het eerste lapmiddel voor Windows Server 2003, slechts twee maanden na de lancering van het nieuwe besturingssysteem. De reparatie is specifiek voor de in het kader van beveiliging geheel herziene IE 6.0-browser. Microsoft ontkent dat zijn zelfverklaarde veiligste product tot op heden hiermee op z'n snufferd gaat. De slechte beveiligingsreputatie van het bedrijf is ook gebaseerd op het feit dat patches niet altijd goed werken, of weer andere problemen veroorzaken. Zo was er vorige maand nog ophef over een op 16 april uitgebracht lapmiddel (811493) voor Windows XP, dat als bij-effect sommige pc's aanmerkelijk vertraagde. Microsoft adviseerde vervolgens het lapmiddel te verwijderen of het realtime-scannen van anti-virusprogramma's uit te schakelen. Op 28 mei kwam er een herziene patch dat het probleem oplost. Net een dag daarvoor is weer een ander lapmiddel (818043), voor de verbetering van vpn-verbindingen (virtual private network), teruggetrokken van de Windows Update-site. Die niet-kritische opwaardering - dus beschikbaar als optie en niet automatisch te downloaden als aanbevolen lapmiddel - verbrak in bepaalde gevallen de netwerkverbindingen van pc's. Volgens Microsoft hadden 600.000 gebruikers de software geïnstalleerd, maar kampte slechts een klein deel met dit probleem.

Hij wil dat gebruikers lapmiddelen van het bedrijf vertrouwen en dus sneller kunnen installeren. Voor dit doel brengt de softwareproducent de huidige acht verschillende mechanismen voor het opwaarderen van de diverse producten terug naar twee: één voor het besturingssysteem en één voor de applicaties. Dit moet eind dit jaar gebeuren.
Verder moet elk lapmiddel zich automatisch aanmelden bij het centrale Windows-register en niet bij verschillende, gescheiden onderdelen van het besturingssysteem. Door deze consistentie is beter te bepalen of en welke lapmiddelen reeds zijn geïnstalleerd en of dat correct is gebeurd.

Kritiek

Eerder was er al felle kritiek van Russ Cooper, toezichthouder van de NTBugTraq-mailinglist over problemen met en fouten in Windows Update. Hij publiceerde in april vorig jaar een uitgebreid document waarin hij uiteenzette wat er zoal mankeerde aan Microsofts systeem voor het uitbrengen, aanbieden en installeren van lapmiddelen.
Hij constateerde dat Microsoft verschillende en soms tegenstrijdige middelen biedt voor het detecteren en installeren van lapmiddelen. Dit zijn de Windows Update-site zelf, de hulpmiddelen Hfnetchk en Baseline Security Analyzer (ontwikkeld door Shavlik Technologies), en de lijst geïnstalleerde software in het configuratiescherm. Deze middelen gebruiken volgens Cooper verschillende, niet altijd correcte methodes om te bepalen welke lapmiddelen reeds zijn geïnstalleerd of niet.
Microsoft kwam eind juni vorig jaar met een gedeeltelijke oplossing voor systeembeheerders: de gratis Software Update Services (SUS), ontwikkeld onder de naam Windows Update Corporate Edition. Daarmee kunnen beheerders op hun eigen netwerk een centrale Windows Update-server draaien voor pc's binnen de organisatie.
SUS biedt de mogelijkheid lapmiddelen pas automatisch te distribueren naar specifieke computers nadat ze zijn getest op problemen en compatibiliteit met de intern gebruikte applicaties. Dit werkt echter alleen voor Windows-versies vanaf Service Pack 2 voor Windows 2000. Oudere systemen zijn aangewezen op breder inzetbare - en niet-gratis - beheerprogrammatuur zoals Microsofts Systems Management Server (SMS) en hulpmiddelen zoals de Group Policy Editor.

Een jaar oud

Met de nieuwe belofte voor het verbeteren van lapmiddelen lijkt Trustworthy Computing nu serieus op gang te komen. Topman Bill Gates kondigde dat initiatief ruim een jaar geleden aan. Hij riep zijn ontwikkelaars op foutenopsporing boven functionaliteitstoevoeging te plaatsen. Microsoft stelt dat in Windows Server 2003 al de eerste vruchten van die nieuwe bedrijfsstrategie zichtbaar zijn. Dit zit onder meer in de webserversoftware IIS 6.0 (Internet Information Server) die geheel herschreven is. Daarnaast staat de meeste serverfunctionaliteit van het besturingssysteem standaard uitgeschakeld.< BR> 
Software Update Services
http://www.microsoft.com/windows2000/windowsupdate/sus/
 
De gevaren van Windows Update
http://www.ntadvice.com/default.asp?pid=36&sid=1&A2=ind0204&L=ntbugtraq&F=P&S=&P=6886
 
Windows Update, wat nu?
http://www.ntadvice.com/default.asp?pid=36&sid=1&A2=ind0204&L=ntbugtraq&F=P&S=&P=6990