Microsoft heeft het Common Criteria-beveiligingscertificaat verkregen voor zijn besturingssysteem Windows 2000. Het verkrijgen hiervan heeft de softwareproducent bijna drie jaar gekost.
Daarnaast heeft het Microsoft enkele tientallen miljoenen dollars gekost, zegt technisch directeur Craig Mundie. Hij zegt dan ook dat het bewijs is dat de Windows-leverancier serieus bezig is met beveiliging. "Mensen die twijfelen aan onze investeringen en onze inzet op dit gebied kunnen nu zien dat wij ons echt verbinden aan beveiliging", aldus de topman.
De Common Criteria is gebaseerd op een reeks richtlijnen van het Amerikaanse ministerie van Defensie genaamd Orange Book. Het certificaat wordt gehandhaafd en verleend door een samenwerkingsverband van internationale standaardenorganisaties. Software die dit predikaat heeft, is echter niet gegarandeerd foutenvrij, maar dat het ontwikkel- en onderhoudsproces voor het product volgens bepaalde standaarden lopen.
Windows 2000 is nu gecertificeerd op Evaluation Assurance Level 4 wat inhoudt dat het methodisch is ontworpen, getest en gerecenseerd binnen de bedrijfsorganisatie van de producent. EAL 4 is het hoogst haalbare niveau voor commerciële ontwikkelcentra. EAL 5 tot en met 7 zijn voor overheidsinstanties.
Microsofts besturingssysteem is nu gecertificeerd voor de beveiligingsfuncties, de beheerdienst Active Directory, de vpn-mogelijkheden (virtual private network), de enkelvoudige aanmelding (single sign-on), de implementatie van het beveiligingsprotocol Kerberos, en het gecodeerde bestandssysteem NTFS.
Windows 2000-voorganger NT 4 was in 1999 in beperkte mate gecertificeerd. Dat besturingssysteem had een ouder Common Criteria (C2) certificaat verkregen, maar dat gold alleen voor het systeem als losstaande computer. De netwerkfuncties waren niet gecertificeerd.
Het is natuurlijk leuk om nu een overzicht te krijgen van welke andere OS-en ook zover zijn…
Ben benieuwd wat de updates gaan kosten om draaiende 2000-licenties op het niveau van de gecertificeerde versie te krijgen.