Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Windows 2000 ontvangt veiligheidscertificaat

Windows 2000 ontvangt veiligheidscertificaat

Door Gabi Gaasenbeek, donderdag 31 oktober 2002 15:14
Bron: Microsoft, submitter: JohanDM, views: 680

Door het toenemende gebruik van internet en de uitwisseling van data op allerlei manieren is beveiliging de afgelopen jaren steeds meer in de belangstelling komen te staan. Nadat Microsoft door verschillende bugs negatief in het nieuws kwam heeft Bill Gates zijn medewerkers begin dit jaar een memo gestuurd waarin hij een nieuwe strategie aankondigde genaamd Trustworthy Computing: de nadruk zou binnen het bedrijf het meest op security komen te liggen. Onderdeel van deze strategie is het aanbieden van het Windows 2000 besturingssysteem voor Common Criteria (CC) certificering. Deze internationaal erkende ISO certificeringsmethode geeft richtlijnen op het gebied van IT-beveiliging. Het besturings-systeem voldoet aan de eisen voor Assurance Level 4, het hoogste niveau dat tot nu toe behaald is met een commercieel besturingssysteem, aldus TheRegister waar het onderwerp ook werd besproken. De schaalverdeling verloopt van Level 1 tot Level 7. Na Windows 2000 is Microsoft van plan om Windows XP en .NET ook voor te dragen voor certificering:

Windows 2000 logoRobust third party auditing such as the Common Criteria is one important investment all customers should look for when making technology purchases. It is our goal to provide a high level of third party auditing that compares favorably to the auditing performed by other platform developers. To that end, Microsoft is committed to building on the CC certification achieved by Windows 2000. Microsoft will seek CC certification for the Windows XP and Windows .NET Server 2003 operating systems. In addition, the company is considering new security partnership programs with government and academic institutions. Partner organizations would then be allowed to conduct security analyses of Microsoft's products by licensing of large amounts of technical information about those products.
Volgende 15:18 Introductie van Athlon MP 2400+ binnen een week
Vorige 14:20 Drie i845PE-moederborden aan de tand gevoeld
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 59 reacties zichtbaar590 Off-topic / Irrelevant: 52 reacties zichtbaar52+1 On-topic: 35 reacties zichtbaar35+2 Informatief: 12 reacties zichtbaar12+3 Spotlight: 1 reactie zichtbaar1
«  1  2  »

Door Maurits van Baerle, donderdag 31 oktober 2002 15:19

Score: 1
Als Windows 2000 er doorheen komt zal XP niet zo'n probleem zijn. De verschillen tussen die twee zijn niet zo groot.

Door chewie, donderdag 31 oktober 2002 15:32

Score: 2
Een bug hoeft natuurlijk niet per definitie een security issue te zijn.

Door nAFutro, donderdag 31 oktober 2002 16:41

Score: 1
Er zitten heel wat verschillen tussen deze 2, in eerste instansie lijkt het redelijk op elkaar maar als je aan het knooien gaat met permissies en policies dan merk je het wel. Als Win2k het gehaald heeft kan xp dat ook, valt immers veel minder te beveiligen omdat het minder in zicht heeft

Door Mavica, donderdag 31 oktober 2002 15:16

Score: 0
Gaat het nou alleen om het OS hierbij of ook om de software die erbij wordt geleverd

* 786562 MavicA

Door Rene59, donderdag 31 oktober 2002 15:19

Score: 1
Met het laatste service pack is IE 'op papier' geen onderdeel meer van Windows 2000.

Het lijkt mij in ieder geval dat het om het gehele pakket gaat.

Door ToAoM, donderdag 31 oktober 2002 15:26

Score: 1
Voor de server versie gaat dit echter niet op. Daar is het uninstallen van Internet Explorer of Outlook nog altijd geen optie, zelfs niet metd e komst van SP3 :(

Door ptaverne, donderdag 31 oktober 2002 15:49

Score: 0
In professional kan ik Outlook (en IE) ook niet uninstallen hoor. Alleen de icoontjes kun je met SP3 laten weghalen en een ander programma als standaard prog instellen.

Door Bor de Wollef, donderdag 31 oktober 2002 15:19

Score: 2
Wat is er precies ingestuurd? Dit geintje heeft Microsoft ook al eens uitgehaald bij NT4. Daar hebben ze ook een certificering op gehaald. Wat er alleen niet bij verteld werd is dat er een speciale versie NT oa. zonder netwerkmogelijkheden getest is. Ik weet dat de Level 4 cirterea heel erg hoog zijn. Ik kan me niet voorstellen dat de hele broncode en alle ontwerpen (+ het ontwerpproces) grondig is bekeken. Ik vrees dus dat het weer een wassen neus is. Helemaal omdat de certificering achteraf behaald is, zonder met de certificeringseisen rekening te houden bij het ontwerp en de ontwikkeling van Win2k (dat was volgens mij niet een van de doelstellingen namelijk).
EAL4 is applicable in those circumstances where developers or users require a moderate to high level of independently assured security in conventional commodity TOEs and are prepared to incur additional security specific engineering costs.

EAL4 provides assurance by an analysis of the security functions, using a functional and complete interface specification, guidance documentation, the high-level and low-level design of the TOE, and a subset of the implementation, to understand the security behaviour. Assurance is additionally gained through an informal model of the TOE security policy.

This EAL represents a meaningful increase from EAL3 by requiring more design description, a subset of the implementation, and improved mechanisms and/or procedures that provide confidence that the TOE will not be tampered with during development or delivery.
Zo lang niet duidelijk is wat er precies gecontrolleerd is heeft het certificaat van Microsoft geen waarde voor mij.

Door TheMask, donderdag 31 oktober 2002 15:38

Score: 1
Voordat je termen als 'wassen neus' in de mond neemt, moet je eerst met feiten komen, voordat je ouwe koeien uit de sloot haalt... Erg jammer dat er weer direct over MS heen wordt gevallen, ipv dat men blij is dat MS er nou eindelijk eens serious mee bezig is (security).
De hoeveelheid bugs is niet veel groter of kleiner dan bij andere os'en hoor, dat lijkt allemaal zo door de berichtgeving... jammer allemaal... probeer een beetje objectief te blijven...

Door kodak, donderdag 31 oktober 2002 16:19

Score: 2
En waar haal jij het feit vandaan dat MS niet veel meer feiten heeft dan andere oses? Om eerlijk te zijn heb ik nog nooit ergens onafhankelijke en serieuze onderzoeks resultaten gezien.
Feit blijft wel dat MS tot nu toe liever niet heeft gehad dat bugs publiek bekend werden gemaakt, ze ze zelf ook liever doodzwijgen en er heel erg veel langer over doen om erop in te gaan of het zelfs te fixen.
Jammergenoeg lijkt de certificering daar geen eisen aan te stellen, dus als ik dat ga meewegen dan voldoen ze volgens de certificering wel aan de zwaarste veiligheids eisen, maar kan de certificering ook nog zwaarder en dan valt MS er niet meer onder en de meeste andere OSes wel.

Door atomik, donderdag 31 oktober 2002 16:08

Score: 1
zonder met de certificeringseisen rekening te houden bij het ontwerp en de ontwikkeling van Win2k (dat was volgens mij niet een van de doelstellingen namelijk)
Wie zegt dat nu weer, dat het pas achteraf voor certificering is voorgedragen wil toch niet zeggen dat er bij het ontwerp geen rekening mee wordt gehouden?
Zo lang niet duidelijk is wat er precies gecontrolleerd is heeft het certificaat van Microsoft geen waarde voor mij.
Dat weet je dus met certificeringen voor andere produkten van bijv. Sun ook niet. Eigenlijk moet je dus stellen dat deze hele CC certificering voor jou geen waarde heeft, los van het geteste produkt.

Door Bor de Wollef, donderdag 31 oktober 2002 17:13

Score: 1
Dat weet je dus met certificeringen voor andere produkten van bijv. Sun ook niet. Eigenlijk moet je dus stellen dat deze hele CC certificering voor jou geen waarde heeft, los van het geteste produkt.
Dat is niet wat ik bedoel. In het verleden is al vaker gebleken dat Microsoft (in tegenstelling tot bv SUN) erg creatief met de certificering is omgegaan door slechts een heel beperkt deel te laten evalueren en vervolgens te roepen dat hun hele product gecertificeerd is. Wat ik vreemd vind is dat ik bij Common Criterea zelf geen informatie over het certificeren van Microsoft vind.

edit: troll? check google en je zult zien dat dit absoluut waar is.

Door Jan de Olde, donderdag 31 oktober 2002 16:12

Score: 2
Wat is er precies ingestuurd?
Uit de FAQ op de Microsoft site:

Q: Which configurations have been evaluated under the Windows 2000 Common Criteria certification?

Windows 2000 Professional with Service Pack 3 and Hotfix Q326886
Windows 2000 Server with Service Pack 3 and Hotfix Q326886
Windows 2000 Advanced Server with Service Pack 3 and Hotfix Q326886

Door Skyclad, donderdag 31 oktober 2002 17:22

Score: 2
De eerder genoemde test met NT4 waar dat een security certification kreeg was NT4 op een machine zonder drives, poorten, applicaties of netwerkkaart. Dus zo erg veel vertrouwen heb ik hier niet in. Tuurlijk, een gewone ruit kan het certificaat 'kogelvrij' krijgen wanneer je het verbergt in een atoomschuilkelder, maar daarmee heb je nog niet de ruit getest.

Door Thugbear, donderdag 31 oktober 2002 17:32

Score: 1
De certificering waarover jullie het hier hebben is de C2 security certificate. Deze certificering heeft zelf een aantal eisen die vreemd zij, zoals het hier aangehaalde "geen netwerk".

Ken je certificering voordat je zegt dat MS weer eens "creatief" bezig is.

Door FreekJan, donderdag 31 oktober 2002 19:42

Score: 0
Absoluut onzin, ik ken die certificering en daar werd in die tijd helemaal niets over wel of geen netwerk in vermeld! Onzin verhaal dus.

Door AnnePoes, donderdag 31 oktober 2002 19:44

Score: 1
Inderdaad, heb het nagezocht en het verhaal over de c2 certificering die geen netwerk zou eisen is compleet uit de lucht gegrepen.

Door arnob, vrijdag 1 november 2002 22:54

Score: 1
dat was een leuk verhaal met die 'geen netwerk' etc..
geen third party drivers
Is ook heel logisch. Hoe kan je iets garanderen als je niet weet (en zeker niet kan bewijzen) dat het geen trojan of iets dergelijks is
Zal nog steeds gelden. Nu zijn met w2k wel veel meer standaard (MS) drivers meegeleverd

Door Tjeerd, donderdag 31 oktober 2002 15:22

Score: 0
En hoeveel geld heeft Microsoft moeten neerleggen om dit certificaat te kunnen bemachtigen?

Door gnimmeL_kraD, donderdag 31 oktober 2002 15:24

Score: 0
waarschijnlijk niet veel, want Windows 2000 is nou ook eenmaal het beste OS tot nu toe :z

Door _Thanatos_, zaterdag 2 november 2002 02:00

Score: 1
Ok, noem eens een aantal concrete dingen dan die *zo* dramatisch hopeloos slecht zijn zoals jou post suggereert?

Ten eerste, welk OS draai je? Ja linux zeker, en linux is natuurlijk perfect.
Ten tweede, Dat certificaat is net zo waardevol als wanneer het een ander OS getest had. De testers zijn nml *wel* objectief.
Ten derde, als onderzeeërs op win2k lopen, waarom geeft dat dan een slechte indruk van de kwaliteit van het OS :?

Verder sluit ik me bij gnimmeL_kraD aan ;)

Door Bor de Wollef, donderdag 31 oktober 2002 15:23

Score: 1
Overigens is Level 4 niet het hoogst haalbare niveau volgens mij. Op de Common Criterea site gaan ze helemaal tot Level 7.

Linkje: http://www.commoncriteria.org/docs/EALs.html
EAL7 - formally verified design and tested

EAL7 is applicable to the development of security TOEs for application in extremely high risk situations and/or where the high value of the assets justifies the higher costs. Practical application of EAL7 is currently limited to TOEs with tightly focused security functionality that is amenable to extensive formal analysis.
edit: na deze post is de originele newspost aangepast. hiervoor werd gemeld dat level 4 het aller hoogste niveau was.

Door Maurits van Baerle, donderdag 31 oktober 2002 15:34

Score: 2
Zou 4 niet het hoogst zijn voor gewone commerciele/private toepassingen? Dat 7 dan is voor geleide wapensystemen, kerncentrales e.d.
Lijkt me niet onlogisch.

Door defined, donderdag 31 oktober 2002 18:53

Score: 0
je zou idd denken dat dat soortsystemen heel veilig zijn:
http://wwwzenger.informatik.tu-muenchen.de/persons/huckle/bugse.html

tel het aantal NASA computerfailures maar eens ;)

Door zomertje, donderdag 31 oktober 2002 15:35

Score: 0
Je hebt gelijk, de nieuwsposting is aangevuld met wat extra informatie.

Door -=bas=-, donderdag 31 oktober 2002 15:26

Score: 0
Het einde van alle virusaanvallen en hacks? :P

Door vanDee898, donderdag 31 oktober 2002 15:40

Score: 2
Zou 4 niet het hoogst zijn voor gewone commerciele/private toepassingen? Dat 7 dan is voor geleide wapensystemen, kerncentrales e.d.
Lijkt me niet onlogisch.
Nee hoor, maar een commercieel OS heeft nooit hoger gehaald dan 4
het hoogste niveau dat tot nu toe behaald is met een commercieel besturingssysteem

Door mbvisiontt, donderdag 31 oktober 2002 15:40

Score: 1
Thrustworthy Computing
Dit moet denk ik Trustworthy Computing zijn. :)

Door bramseltje, donderdag 31 oktober 2002 19:42

Score: 1
Nee hoor...
thrustworthy Waard om extra gas voor te geven.
Ze willen graag dat je hard naar de winkel rent :D

Door Marten, vrijdag 1 november 2002 22:37

Score: 0
Tja, of het is je joystick waardig? :? :D

Door ExtraWaskracht, donderdag 31 oktober 2002 15:42

Score: 0
Waarom staat er geen bronvermelding bij het artikel van the register? Of kijk ik er overheen? Als je nl kijkt naar de lijst die zij aangeven via een link staat windows 2000 er helemaal niet bij, laat staan met niveau 4. Ik moet er bij zeggen dat de disclaimer van die lui erbij zeggen dat ze er zelf niet van uitgaan dat de lijst compleet is, alhoewel het me raar lijkt als ze windows 2000 er niet bij gezet zouden hebben.

Broodje aap?

Door Jan de Olde, donderdag 31 oktober 2002 16:06

Score: 2
Hier staat het artikel op de site van Microsoft zelf..

Microsoft Windows 2000 Awarded Common Criteria Certification

Door mjtdevries, vrijdag 1 november 2002 12:46

Score: 1
Interessante link. Eén ding blijkt hieruit heel duidelijk, en dat is dat we hier niet met een certificering á la de C2 certificering van NT4 te maken hebben, maar met een serieuze certificering gebaseerd op praktijk situaties.

Op zich ook weer niet zo vreemd dat win2000 dat klaarspeelt. Bedenk eens even hoeveel van de vulnerabilities die je kent ook echt in het OS zelf zitten?
In verreweg de meeste gevallen zijn het vulnerabilities in applicaties die op het OS draaien. (outlook bv)
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 15:18 Introductie van Athlon MP 2400+ binnen een week
Vorige 14:20 Drie i845PE-moederborden aan de tand gevoeld
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011