Microsoft werpt zich op als waakhond

‘Geen problemen met terugwaartse compatibiliteit Vista’

Beveiligingsspecialist Mike Nash van Microsoft stelt dat informatiebeveiliging ook in de toekomst aandacht blijft vereisen voor zowel kwaliteit, anti-malware en toegangscontrole.

Systeem- en netwerkbeheer is volgens Nash voor alles de taak voor het Microsoft Operations Manager systeem. In het nieuwe besturingssysteem Windows Vista en de ‘Longhorn’ Windows Server-versie wordt Network Access Protection (NAP) voorzien – een systeem dat de conformiteit aan en naleving van security policies door aangesloten systemen moet afdwingen. NAP zal hiervoor samenwerken met andere services, zoals Active Directory, Group Policy en Microsoft Systems Management.

Een fundamentele rol is bij het afdwingen van die security policies weggelegd voor de toegangscontrole. Microsoft legt sterk de nadruk op malwarebestrijding. Al in 2004 werd het Amerikaanse Giant Company Software overgenomen (leverancier van anti-malwareproducten en diensten). Bovendien zullen anti-malwarefaciliteiten in het besturingssysteem worden opgenomen.

Beveiliging in Vista

Mogelijke problemen met terugwaartse compatibiliteit door nieuwe beveiligingskenmerken in Windows Vista wuift Mike Nash weg. Een aspect als ‘Windows Service Hardening’ in Vista leidt immers niet tot een verstorende werking (eventueel met wat refactoring), maar voorkomt juist ongeoorloofd en schadelijk gedrag.

Meer werk was nodig om problemen rond de ‘user account control’ op te lossen. Vandaag moet de gebruiker nog vaak voor simpele dingen als het aanpassen van de systeemtijd over ‘admin’-rechten beschikken, om het nog niet te hebben over de vele bedrijfstoepassingen die dit vereisen. Microsoft heeft dit voor zijn producten gecontroleerd en heeft een ‘standard user’ gedefinieerd die over lokale admin-rechten kan beschikken.

Vista voorziet overigens standaard ook in sterkere authenticatiemogelijkheden, inclusief het gebruik van smartcards en biometrische systemen. Zo moet het makkelijk worden om kaartlezers in te pluggen en een beveiligde verbinding (door middel van Kerberos) op te zetten. Mike Nash geeft de bedrijven daarbij de raad ook aan een totale aanpak te denken, zodat een flexibel gebruik van bijvoorbeeld smartcards mogelijk is. “Stel dat je buiten het bedrijf bent zonder je smartcard en toch moet inloggen. Het zou mogelijk moeten zijn ergens een smartcard te kopen en vervolgens tijdelijk toegang te krijgen.” Nash benadrukt tevens het werk dat door Microsoft en partners werd geleverd om ‘vertrouwen’ tussen verschillende bedrijven en hun toepassingen te creëren, met een belangrijke rol voor de Microsoft Internet Authentication Service (IAS).

Problemen als de wmf-perikelen van eind vorig jaar relativeert Nash, want dergelijke lacunes waren van geen belang voor de ‘aanvallen van de oude school’. Het ging in wezen om een oneigenlijk gebruik van een error handling. Vandaag wordt dat ondervangen door de ontwikkelaars bewust te maken van beveiligingsaspecten en ‘best practices’ te laten hanteren. Fundamenteel hierbij is een doorgedreven threat modeling, met het oog op het inschatten en voorkomen van gevaren.