Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Core » Software » Nieuwe veiligheidsplannen Microsoft gepresenteerd

Nieuwe veiligheidsplannen Microsoft gepresenteerd

Door Harm Hilvers, donderdag 9 oktober 2003 23:47
Bron: Microsoft, views: 1.752

Steve Ballmer, CEO van Microsoft, heeft een aantal plannen op het gebied van security gepresenteerd tijdens de Worldwide Partner Conference van Microsoft. De aankomende tijd zullen er een aantal updates en nieuwe technologiën gelanceerd worden om Windows en bijbehorende software veiliger te maken. Speciale aandacht zal uitgaan naar de volgende punten: verbeterde software en processen op het gebied van patchmanagement. Daarnaast zal het bedrijf uit Redmond een wereldwijd opleidingsprogramma opstarten waarin de nadruk gelegd zal worden op het beveiligen van Windows-systemen. Tenslotte zullen er updates uitgebracht blijven worden om Windows XP en Windows Server 2003 veiliger te maken. Interessant is dat er ook gewerkt gaat worden aan patches en updates om het systeem bijna hermetisch af te kunnen sluiten. Ballmer hield zijn luisteraars het volgende doel voor:

"Our goal is simple: Get our customers secure and keep them secure," Ballmer said. "Our commitment is to protect our customers from the growing wave of criminal attacks."

Microsoft logo (blauw)Omdat de Worldwide Partner Conference voor een gedeelte in het teken staat van veiligheid, is er een interview met Mike Nash, corporate vice-president van Microsoft's Security Business Unit verschenen op de site van Microsoft. Het bedrijf wil de securityplannen niet alleen uit gaan voeren, en heeft daarom verschillende partners gezocht om mee samen te werken. De gedachte hierachter is dat veiligheid een onderwerp is dat iedereen aangaat, en dat alle betrokkenen ook inspraakmogelijkheden moeten kunnen hebben. Er zijn verschillende manieren van samenwerken om de veiligheid van systemen en netwerken te vergroten.

Eén van de belangrijkste is het afnemen van bepaalde diensten van Microsoft of één van zijn partners. Het is bijvoorbeeld mogelijk om het patchmanagement volledig uit te besteden aan een extern bedrijf of het volgen van een Microsoft-cursus op het gebied van security. Daarnaast legt Microsoft de verantwoordelijk voor veilige systemen ook gedeeltelijk weer bij de partners terug door hen wel te ondersteunen in de ontwikkeling van bepaalde software, bijvoorbeeld antivirussoftware of uitbreidingen op Exchange Server, maar niet zelf actief mee te helpen aan de ontwikkeling. Daarnaast heeft Microsoft de afgelopen tijd, in samenwerking met zijn partners, gewerkt om correcte documentatie aan te kunnen bieden op verschillende gebieden.

Volgende 09:33 Dell komt niet met Opteron-servers
Vorige 22:20 Eerste Socket 939 moederbord gespot
Advertentie

Categorieën

Gerelateerde content

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 44 reacties zichtbaar440 Off-topic / Irrelevant: 41 reacties zichtbaar41+1 On-topic: 37 reacties zichtbaar37+2 Informatief: 12 reacties zichtbaar12+3 Spotlight: 3 reacties zichtbaar3
«  1  2  »

Door Tomatoman, donderdag 9 oktober 2003 23:57

Score: 2
Het bedrijf wil de securityplannen niet alleen uit gaan voeren, en heeft daarom verschillende partners gezocht om mee samen te werken. De gedachte hierachter is dat veiligheid een onderwerp is dat iedereen aangaat, en dat alle betrokkenen ook inspraakmogelijkheden moeten kunnen hebben.
Volgens mij heeft het een heel andere reden dat Microsoft hiervoor partners zoekt: vertrouwen van de markt. Microsoft staat er al dan niet terecht om bekend dat zijn securityplannen lang niet altijd deugen. Een paar gerenommeerde partners kunnen bij voorbaat al een hoop scepsis wegnemen doordat zij bereid zijn hun naam te lenen aan dit nieuwe initiatief van Microsoft.

Door broinarms, vrijdag 10 oktober 2003 09:22

Score: 1
En dan zijn er in ieder geval een paar bedrijven die straks niet beginnen te zeuren over patent op de maatregelen... :D

Door Standeman, vrijdag 10 oktober 2003 10:11

Score: 1
Niet alleen qua marketing gezien is het een goed idee, maar zeker ook technisch gezien. De partners waar Microsoft naar zoekt hebben een hoop kennis in huis betreffende beveiliging en de processen die hier om heen liggen. Daar kan Microsoft groot voordeel mee behalen.
Microsoft heeft wel een hoop mensen op een security-cursus gestuurd, maar die hebben nog niet veel praktijk ervaring. Dat laatste is toch vaak noodzakelijk als je een product goed wilt beveiligen tegen misbruik e.d.

Door pinball, vrijdag 10 oktober 2003 00:00

Score: 1
Eén van de belangrijkste is het afnemen van bepaalde diensten van Microsoft of één van zijn partners.

Waarom las ik toch meteen 'betaalde diensten' :)

Toch wel een goede zaak, want het is echt belachelijk dat je tegenwoordig ook als je zelf wel alles braaf patched (of linux/mac draait) je toch zoveel last hebt van de virussen/wormen.

Door Live!, vrijdag 10 oktober 2003 08:16

Score: 0
Wat is er mis aan een betaalde dienst?

Als je zelf alles had gepatcht dan had je geen enkel probleem de afgelopen tijd (behalve een toename in internet verkeer). Voor Blaster en Slammer waren de patches al geruime tijd beschikbaar. Als beheerders een cursus gevolgd hadden dan hadden ze een firewall ingericht waardoor Slammer en Blaster helemaal geen schade konden uitrichten.

Lijkt me niet meer dan logisch dat partners nu betaalde diensten aan gaan bieden om dit voor bedrijven te doen.

Door Alexander Wesdorp, vrijdag 10 oktober 2003 09:37

Score: 1
De reactie van Pinball op:
Wat is er mis aan een betaalde dienst?
zou dan zijn:
Omdat het bij Linux gratis is.
Kinderachtig gedoe

Door TheAnimaL, vrijdag 10 oktober 2003 00:04

Score: 2
Interessant is dat er ook gewerkt gaat worden aan patches en updates om het systeem bijna hermetisch af te kunnen sluiten.
Bijna hermetisch af te sluiten inderdaad, zolang er onderdelen zijn die zo in het systeem verweven zijn zoals Internet Exploder met z'n leuke ActiveX rommel en dat user space progjes DLLetjes in systeem context ( ja dat gebeurt ook nu nog steeds ) mogen installen zal veiligheid ver te zoeken zijn.

Alleen de mono-cultuur op zich is al een veiligheids beperking. Is er in een mono-cultuur 1 vulnerability in het systeem, dan kun je er vanuit gaan dat ieder systeem deze bevat.

Het zal allemaal best verbeteren, maar feit is dat software nooit foutloos is en in een mono-cultuur heeft een fout nou eenmaal een grotere impact.

Door phYzar, vrijdag 10 oktober 2003 00:23

Score: 2
Hoe stabiel wil je het hebben? Sinds ze DOS overboord hebben gegooid en met hun NT-technologie zijn verder gegaan is instabiliteit te scharen in de categorie "user-abuse"

Door dasiro, vrijdag 10 oktober 2003 00:23

Score: 1
dat gebeurd in principe bij elke bugfix, hoe klein het lek ook is

Door Gody, vrijdag 10 oktober 2003 00:32

Score: 2
Ze doen hun best. Stabiel mkaen is natuurlijk een groot streefpunt. Je os kan nog zoveel functies bezitten en er nog zo grafisch-geil uitzien, het moet stabiel zijn. MS is niet dom... En voordat die vraag ook nog komt over de gaten in windows... of die nu ook dicht gaan. Het is heus niet zo dat linux geen lekken heeft. Of dat nieuwe red-flag os uit japan strax. Ze hebben vast wel een lading mensen zitten die de code checken maarja meer dan je best kun je niet doen.

Door cablepokerface, vrijdag 10 oktober 2003 09:29

Score: 1
Of dat nieuwe red-flag os uit japan strax

<correctie>red-flag komt uit china. Het wordt zo genoemd omdat china een rode vlag heeft. :o Misschien als japan met een eigen linux versie komt kunnen ze het red-dot noemen ... ;) </correctie>

Door Beaves, vrijdag 10 oktober 2003 00:36

Score: 2
Bij de ontwikkeling van Windows is duidelijk veel te weinig rekening gehouden met security. Het is (zo blijkt) bijna ondoendelijk om dat alsnog op fatsoenlijke wijze in te bouwen.

Klopt, MS is bij het ontwerp van Windows altijd uit gegaan van gebruikersgemak en minder op veiligheid, omdat die twee dingen nou eenmaal moeilijk goed zijn te integreren.

Als je een OS geschikt wilt maken zodat bijna iedereen er mee werken kan zul je consessies moeten doen op het gebied van veiligheid. Om het de mensen niet moeilijker dan nodig te maken zul je bijvoorbeeld bepaalde dingen niet kunnen afschermen of zal een standaard installatie te "open" zijn.
Zie IIS zoals die bij Windows 2000 wordt meegeleverd. Die staat standaard wagenwijd open om het de gebruiker makkelijk te maken. Maar dat betekend dus wel dat iedereen die iets wil doen wat niet mag er zo bij kan. Dat heeft MS in de gaten gehad en dus hebben ze een Windows 2003 Server standaard dicht gezet i.p.v. open zoals bij 2000.
MS heeft dus in de gaten dat veiligheid net zo belangrijk is als gebruiksvriendelijkheid en ze werken er dus wel aan.

Maar een product aanpassen/patchen die niet met het volledige oog op veiligheid gericht is ontworpen is erg lastig, vandaar dat het nog niet echt opschiet met zaken zoals IIS onder Windows 2000. Dat zal altijd problematisch blijven. Pas bij compleet opnieuw ontworpen software zal de veiligheid echt gaan verbeteren.

Door RetepV, vrijdag 10 oktober 2003 10:20

Score: 1
Klopt, MS is bij het ontwerp van Windows altijd uit gegaan van gebruikersgemak en minder op veiligheid, omdat die twee dingen nou eenmaal moeilijk goed zijn te integreren.
Hmz, als de marktleider, die megamiljarden verdient, zomaar effe beslist dat ze maar minder aan veiligheid doen omdat 'dat toch te moeilijk is', dan verdienen ze imo die miljarden niet.

Er zijn zat andere mensen die zich wel met veiligheid van software bezighouden, pak een paar miljarden van Microsoft af en geef die aan die mensen.
Maar een product aanpassen/patchen die niet met het volledige oog op veiligheid gericht is ontworpen is erg lastig, vandaar dat het nog niet echt opschiet met zaken zoals IIS onder Windows 2000. Dat zal altijd problematisch blijven. Pas bij compleet opnieuw ontworpen software zal de veiligheid echt gaan verbeteren.
Precies. En wat doet Microsoft nu? Niks opnieuw ontwerpen. Ze gaan het patch-programma verbeteren, hun software testen verbeteren en de gebruiker opleiden.

Maar dat gingen ze 2 jaar geleden toch al doen? Er is dus niets nieuws onder de zon, en het enige dat zal gebeuren is dat Steve Ballmer NOG gefrustreerder zal worden omdat het allemaal niets helpt.

Door Ashe, vrijdag 10 oktober 2003 10:51

Score: 1
In plaats van te blijven kankeren dat het helemaal niets zal uithalen ben ik relatief blij met de pogingen die Microsoft onderneemt om hun huidige besturingssysteem(en) veiliger te maken. Het kon veel erger.

Ik ben er rotsvast van overtuigd dat er een compleet en dedicated (zwaar) team bezig is met de ontwikkeling van een nieuwer systeem van de grond af met veiligheid in het achterhoofd.

Zoals je zelf al weet kan je de fundamenten van een OS niet ineens veranderen en veilig maken. Op dit moment werken ze aan de veiligheid van de huidige systemen. Dit is een logische zet in afwachting van het uitbrengen (binnen enkele jaren) van een besturingssysteem met veiligheid in gedachte bij het ontwerpen ervan.

Door PatMan, vrijdag 10 oktober 2003 10:35

Score: 1
Als je een OS geschikt wilt maken zodat bijna iedereen er mee werken kan zul je consessies moeten doen op het gebied van veiligheid. Om het de mensen niet moeilijker dan nodig te maken zul je bijvoorbeeld bepaalde dingen niet kunnen afschermen of zal een standaard installatie te "open" zijn.
Consessies zijn volgens mij helemaal niet nodig, je zult er alleen meer tijd en moeite moeten steken. Kijk bijvoorbeeld naar Linux en MacOS X. Beide besturingssystemen zijn standaard 'veiliger' dan Windows, terwijl ze qua gebruiksgemak niet onder doen voor Windows (zeker de Mac staat bekend om zijn gebruiksvriendelijkheid).
Zie IIS zoals die bij Windows 2000 wordt meegeleverd. Die staat standaard wagenwijd open om het de gebruiker makkelijk te maken. Maar dat betekend dus wel dat iedereen die iets wil doen wat niet mag er zo bij kan. Dat heeft MS in de gaten gehad en dus hebben ze een Windows 2003 Server standaard dicht gezet i.p.v. open zoals bij 2000.
Ik vind dit niet zo'n goed voorbeeld, aangezien je het nu over een besturingssysteem hebt dat voor professionals bedoeld is en niet voor de doorsnee computergebruiker thuis. Van een professional mag je m.i. verwachten dat hij/zij weet waar 'ie mee bezig is. Daarnaast zal Windows 2000 toch meer op servers geinstalleerd worden en daar is gebruiksvriendelijkheid veel minder belangrijk dan veiligheid in vergelijking met workstations.
MS heeft dus in de gaten dat veiligheid net zo belangrijk is als gebruiksvriendelijkheid en ze werken er dus wel aan.

Maar een product aanpassen/patchen die niet met het volledige oog op veiligheid gericht is ontworpen is erg lastig, vandaar dat het nog niet echt opschiet met zaken zoals IIS onder Windows 2000. Dat zal altijd problematisch blijven. Pas bij compleet opnieuw ontworpen software zal de veiligheid echt gaan verbeteren.
Persoonlijk vind ik het belachelijk dat ze daar nu pas mee beginnen. Hoeveel tijd en geld heeft het gebrek aan beveiliging nu al niet gekost bij de talloze bedrijven en instellingen die door virussen etc. zijn getroffen? Gezien de hoeveelheid geld die Microsoft in kas heeft, hadden ze daar na Windows 95 al makkelijk mee kunnen beginnen.

Door kodak, vrijdag 10 oktober 2003 00:43

Score: 3
Daar gaan we weer... "Eén van de belangrijkste is het afnemen van bepaalde diensten ... patchmanagement volledig uit te besteden ... volgen van een Microsoft-cursus op het gebied van security."

In plaats van dat er daadwerkelijk gekeken wordt naar een goede oplossing voor het veilig krijgen en houden van de klanten wordt er door ms voor de zoveelste keer weer gegrepen naar de oude middelen waarvan juist bekend is dat die aanpak eigenlijk niet helpt.
De geboden oplossing hangt of staat eigenlijk bij de doorslaggevendheid van de wijze van markting en promotie van de geboden middelen.

Bij de klanten moet de bereidheid opgewekt worden om naast de ms software ook de ms wijzen van beveiliging als noodzakelijk te achten om veilig te worden en blijven. En daar gaat ms de fout in:
Ten eerste zit de klant niet te wachten op middelen achteraf en wil van ms eigenlijk alleen goede software. Het heeft geen software van ms gekozen om vervolgens andere diensten te moeten of willen aanschaffen van of via ms om veilig te blijven.
Ten tweede is veiligheid scheppen en behouden niet een kwestie van het volgen van de ms manier om bij gebruik van ms software zo veilig mogelijk te blijven, maar is beveiliging en veiligheid in het dagelijks gebruik ook afhankelijk van vele niet ms gebonden factoren die via die ms leermiddelen en oplossingen niet of nauwelijks aan bod komen en waar de geboden uitbestedingen ook weinig in tegemoet komen waardoor je als gebruiker nog weinig opschiet met de geboden service.

Er zijn vele wegen naar een goede beveiliging. Het is alleen vreemd dat ms de aanpak en verbetering hiervan steeds vanuit de markting kant bekijkt en vervolgens op de problemen ingaat ipv andersom. Natuurlijk goed voor ms en de partners, maar als klant heb je er eigenlijk weinig aan omdat dit soort oplossingen juist vaak meer geld en tijd kosten dan de niet vanaf marketing opgezette beveiligings oplossingen.

Door Live!, vrijdag 10 oktober 2003 08:23

Score: 2
Goede software is een illusie. Complexe producten zoals een besturingssysteem zullen altijd fouten bevatten (kijk bijv. alleen al naar de security bulletins die bijv. Red Hat dit jaar heeft uigebracht).

Security is een zaak waarbij fabrikant en klant een grote rol spelen. Microsoft moet als uitgangspunt goede software leveren (en ik vind persoonlijk Windows daar een voorbeeld van) maar moet ook goede processen hebben (security teams, hot patch teams, Windows Update, Software Update Services SUS etc.). Aan de andere kant is de klant verantwoordelijk voor een veilige implementatie en het up-to-date houden van zijn systeem (of het nu Windows is of niet). Deze twee punten gaat Microsoft nu adresseren met dit security initiatief.

Door mike_mike, vrijdag 10 oktober 2003 23:35

Score: 1
Goede software is een illusie. Complexe producten zoals een besturingssysteem zullen altijd fouten bevatten (kijk bijv. alleen al naar de security bulletins die bijv. Red Hat dit jaar heeft uigebracht).
Waar het om gaat is dat MS wederom de nadruk legt op "patchmanagment" en systeembeheerders verantwoordlijk stelt voor het bijhouden daarvan.

Mooi woord: "patchmanagement", een accuratere beschijving is "pijnlijke constructiefouten herstellen" of "symptoombestrijding"

Het is gewoon volksverlakkerij om te spreken over "software veilig houden" alsof hackers zelf lekken creëeren, nee er worden lekken ONTDEKT, die zaten er al, op het moment van release. Maar waren alleen door MS over het hoofd gezien. Het is eigenlijk te gek voor woorden dat het MS bijna gelukt is om de definitie van een "lek" te veranderen in "software die onderhoud nodig heeft" alsof het een auto is die na zoveel gereden kilometers een nieuw remblokje nodig heeft.

Natuurlijk bestaat foutloze software niet, het gaat erom dat de houding van MS wat minder arrogant zou moeten zijn en dat ze wat minder hoog van de toren zouden blazen met allerlei "het veiligste OS dat er is" opmerkingen en allerlei symptoombestrijdingen zoals services om je software veilig te "houden"
Security is een zaak waarbij fabrikant en klant een grote rol spelen.
Dat is de kern van het probleem, in een monoplie kan er per definitie geen sprake van een gezonde fabrikant-klant verhouding.

Door miw, vrijdag 10 oktober 2003 09:52

Score: 1
Het staat inderdaad als een paal boven water dat er nog veel te verbeteren valt aan de beveiliging van MS op technisch gebied. Maar zelfs het best beveiligde product zal wel eens een gat vertonen dat uitgebuit kan worden. Dan kan je alleen je systeem in orde houden door de opgespoorde fouten zo snel mogelijk te corrigeren. Het verleden bewijst dat er te weinig patches geinstalleerd worden en dat het daardoor een weinig effektief mechanisme is. Op basis van deze historie kan je niet zeggen dat het principe van patches niet deugt. Het is eerder een kwestie om alletwee te doen; goede software bouwen en een effectief patch mechanisme ontwikkelen.

Door Barbapapa720, vrijdag 10 oktober 2003 16:45

Score: 1
Inderdaad daar gaan we weer. Het zal ongetwijfeld waar zijn dat Windows de meest onveilige software is die er te krijgen is. Aan de andere kant is het ook het enige OS waar grote mensen moeite voor doen om de onveiligheid te bewijzen.

Ik ben overtuigd dat als al de mensen die nu proberen Windows OS plat te krijgen met diezelfde vereende kracht Novell/AS400/Linux omver krijgen geworpen. De meest briljante mensen van deze wereld zijn bezig om MS te dwarsbomen. Dit kan ook bij elk ander OS. Want wat door mensen is gemaakt kan door mensen gekraakt worden.

Door GiLuX, vrijdag 10 oktober 2003 01:01

Score: 1
windows was in den beginnen nooit ontworpen om met de buiten wereld te communiceren.
je kan zeggen dat dat pas mogelijk was vanaf de win 3.11 patch.
win 95/98/nt hadden default nog geen eens tcp/ip installed.
pas vanaf win2000 is die gemene 'digitale buiten wereld' pas door microsoft serieus genomen en er zit maar liefst een voledige tcp/ip stack standaard in (rustig maar, microsoft heeft een SCO licentie ;) ) en die buitenwereld barst van de l337 haXorz en cr4x0rz die het allemaal gemunt hebben op microsofts paradepaardje

nu is mr balmer een briljant zakenman en weet van de nood een deugd te maken en gaat nu (voor de zoveelste keer) vertellen hoe fantastisch secure windows wel niet gaat worden.
en met dat verhaal kan de 'technisch' manager met horeca achtergrond en affiniteit voor computers wel bij zijn baas aan komen zetten als er geld voor een upgrade nodig is ;).

biertje?

Door TheAnimaL, vrijdag 10 oktober 2003 01:06

Score: 2
Even wat onvolkomenheden rechtzetten :

Win3.11 for Workgroups was gemaakt om met andere computers te communiceren, niet over tcp/ip maar met behulp van NETBUEI/LanManager. Win9x/NT kregen wel een tcp/ip stack mee, maar werd inderdaad niet standaard geinstalleerd.

De tcp/ip stack in windows is afkomstig van BSD, dus daar heeft SCO niets mee te maken.

Volgens mij hoor.... ik neem een glas water...

Door lucid, vrijdag 10 oktober 2003 01:37

Score: 2
* 786562 lucid
Voorspelling :

Microsoft introduceert hackproof updatesysteem en beveiligt de computer met Palladium.

Ik weet het, de zin is ietsie krom, maar dat is de bedoeling ;) M.a.w. een prima "window of opportunity" voor Microsoft om Palladium te pushen in het kader van een nieuw beveiligingsbeleid.

Door StiGMaTa, vrijdag 10 oktober 2003 03:32

Score: 2
Ik denk dat buiten bedrijven niemand Palladium op zijn PC wil hebben. Want wat ik al allemaal gelezen heb over palladium (op tweakers.net) is zeer goed voor beveiliging, maar geeft microsoft nog een groter monopolie en de gebruiker veel minder controle over zijn eigen PC.

Door megamuch, vrijdag 10 oktober 2003 03:55

Score: 3
Op zich een goed initiatief natuurlijk, maar laat ze voortaan eerst eens nadenken over wat de gevolgen zijn van bepaalde constructies in Windows.

DCOM bijvoorbeeld. Waarom staat dat aan? D'r is zo goed als geen programma wat er gebuik van maakt. Zet het dan dus uit!

Firewall in je OS? Zet hem standaard AAN. Nou ja zo zijn er natuurlijk nog 1001 dingen te verzinnen.

Het is niet zo heel gek dat er bugs in Windows zitten (die zitten immers in ieder OS), maar af en toe lijkt het tot nu toe of men bij Microsoft bepaalde dingen implementeert zonder na te denken over de security.

Als ik win2k installeer en ik draai hem puur als webserver, dan kan ik eerst minimaal 12 (!) services uit zetten + DCOM eruit + firewall erop + sp4 erop.

Waarom staan die services standaard aan? Geen idee, maar echt handig is het natuurlijk niet.

Goed.. laat ze het maar bewijzen op een acceptabele manier. (lees: zonder palladium)

Door MoBi, vrijdag 10 oktober 2003 07:47

Score: 1
Er bestaan dcom web applicaties. Dus soms gaat het uitzetten van dcom niet door.

Een service pack mag je ook niet mee nemen. Als je een linux distributie van cd neemt moet je ook patchen.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 09:33 Dell komt niet met Opteron-servers
Vorige 22:20 Eerste Socket 939 moederbord gespot
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011