Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 69 reacties

Microsoft heeft een nieuwe beveiligingsfeature voor het aankomende Windows 10 onthuld onder de naam Device Guard. Deze beveiligingslaag moet voorkomen dat software wordt gedraaid die niet van de gewenste handtekening is voorzien. Dit moet malwareproblemen verminderen.

De komst van Device Guard is door Microsoft bekendgemaakt tijdens de RSA Conferentie die momenteel in de VS wordt gehouden. Deze Windows 10-functionaliteit kan zo ingesteld worden dat alleen software uit de Windows Store of van bepaalde leveranciers gedraaid kan worden. Systeembeheerders kunnen zelf een lijst aanleggen van toegestane applicaties.

Om te controleren welke software wordt gestart, controleert Device Guard in Windows 10 onder andere de handtekening van een applicatie. Microsoft zal tools meeleveren zodat bedrijven en organisaties zelfgemaakte software van een handtekening kunnen voorzien.

Volgens Microsoft kijkt Device Guard overigens niet alleen naar een handtekening; de beveiligingslaag zal ook gebruikmaken van virtualisatie en van hardwarematige functies, maar details daarover geeft Microsoft niet. Wel zouden diverse grote computerfabrikanten Device Guard hardwarematig ondersteunen, waaronder Acer, Fujitsu, HP, Lenovo en Toshiba.

Device Guard kan veel malwareproblemen voorkomen, zo stelt Microsoft. Wel blijven virusscanners nodig, onder meer om bijvoorbeeld macro's en just-in-time applicaties, bijvoorbeeld geschreven in Java, te kunnen controleren.

Moderatie-faq Wijzig weergave

Reacties (69)

Nou maar hopen dat het niet standaard aan staat anders zullen we weer veel tijd kwijt raken om de gebruikers uit te leggen hoe het uit te schakelen
Register hacken.
Neuh, ze moeten gewoon een stand toevoegen waarmee zelf ontwikkelde software ook kan worden uitgevoerd als je het zelf ondertekent hebt. Dat betekent dat iedereen zelf bestanden een eigen ondertekening kan geven en uitvoeren op de eigen computer.
Nou maar hopen dat het niet standaard aan staat anders zullen we weer veel tijd kwijt raken om de gebruikers uit te leggen hoe het uit te schakelen
Waarschijnlijk staat het niet standard aan, maar voor een managed omgeving is het ideaal. Aan de andere kant is een waarschuwing dat er software wordt geïnstalleerd welke onveilig is helemaal niet zo gek. Maar tja, er zijn ook gekken die mensen adviseren om UAC uit te zetten en te werken met een Administrator account.
Het zal inderdaad standaard uit staan, of in ieder geval op een laag niveau waar het enkel bijvoorbeeld OS componenten controleert op handtekeningen.

Immers anders zal het gros van de applicaties op Win32 niet meer draaien, omdat Windows evident nooit de handttekeningen kan whitelisten van alle bedrijven op aarde.

Andersom, niets whitelisten geeft ... Windows RT. Meeste veilige desktop OS, maar je kunt dan ook enkel Microsoft applicaties draaien.
In die zin zie je dus ook hoe Device Guard malware een bijna fatale dreun kan uitdelen. Zie de andere Tweakers berichten betreft fishing mails van het Witte huis en Sony. Dat soort zaken zijn hiermee onmogelijk, want de beide executables zullen niet draaien hoe graag ook de gebruiker dat 'aap videootje' toch wil zien. _/-\o_
anders zullen we weer veel tijd kwijt raken om de gebruikers uit te leggen hoe het uit te schakelen
of je bent admin en dan hoef je zo'n dingen helemaal niet uit te leggen, want dan wil je net niet dat gebruikers random rommel op je workstations installeren, of je zaait adminrechten in het rond en dan kies je er zelf voor om je problemen op de hals te halen
En jij denkt dat een beveiliginsfeature die standaard uit staat en handelingen verricht om aan te zetten een plek in deze wereld verdiend? Alsof er mensen zijn die denken: "Ik ben nogal onhandig met computers en installeer alles dat ik op het web tegen kom, laat ik maar even een handleiding zoeken om uit te vinden hoe ik mijn eigen wangedrag aan banden leg".
EMET verdient wel degelijk een plek in de wereld.

*houdt vingers gekruist dat MS eens ballen toont en EMET onderdeel maakt van Windows 10.
Het zou al fijn zijn als er meer applicatie profielen voor EMET beschikbaar zouden zijn. Het is nu wel erg veel trial-and-error om je applicaties goed te configureren in EMET.
Meeste fatsoenlijke apps kan je de volledige laag van EMET geven.


Bij mij staat standaard alles aan behalve EAF+ en ASR. DEP, SEHOP, ASLR, deep hooks, anti detours, banned functions en Certificate Pinning staan ook aan.

Ik kom er weinig tegen die moeite hebben met EMET. Zijn meestal applicties die niet helemaal netjes volgens de richtlijnen geschreven zijn en binnendoor weggetjes nemen of API's misbruiken. Maar hierdoor heeft MS besloten EMET niet onderdeel van Windows 8 te maken.

[Reactie gewijzigd door batjes op 23 april 2015 11:55]

Deze functie lijkt me superhandig ... eindelijk ga ik de pc van m'n pa zo kunnen instellen dat er niets anders kan draaien dan de programma's die hij écht nodig heeft; zijnde firefox, thunderbird, een mediaplayer, de flash executable, GData, skype en nog een paar andere toepassingen die al in windows worden meegeleverd...

gedaan met programma's die zichzelf proberen te draaien vanuit de doxuments/download/appdata/temp folders en zo proberen rotzooi te installeren...
(hij werkt nu al met een gewone gebruikersaccount, enkel ik heb adminrechten op zijn pc en dat heeft gelukkig ook al vel tegengehouden
Het is wel degelijk gemaakt, dat is het rare.
Uitschakelen?
Waarom zou je het uit willen zetten? Dit kan verdomd handig zijn om bv Cryptocrap tegen te houden...
Er zijn zo ontzettend veel tools en programmatjes die niet digitaal ondertekend zijn. Deze zouden dan in een klap niet meer werken (in zekere zin wel goed want het stimuleert ontwikkelaars om hun software te ondertekenen). Als het al kan zou je voor ieder bestandje een uitzondering moeten maken en na updates alle uitzonderingen weer bijwerken.

Het is juist handig om aan te zetten als je in een bedrijf o.i.d. werknemers wat meer vrijheid wil geven in wat ze op hun pc's willen draaien. Zo heb je zekerheid dat ze moelijk pirated software kunnen draaien en is het bijna onmogelijk om malware te installeren.
Het kan in de weg zitten voor mensen die gemodde games spelen.
Als je bijvoorbeeld een hexeditor gebruikt om een bestaande exe aan te passen (voor iets kleins zoals de hoeveelheid levens/totale hoeveelheid health) dan zou windows al gaan klagen

En dan is er natuurlijk ook nog de groep mensen die niet al hun games helemaal legaal binnenhalen. Die zijn meestal gewijzigd en bevatten geen geldige handtekening meer.

Als er een makkelijke manier is om het dan toch toe te staan is er geen probleem, maar als het gewoon weg geblokkeerd wordt is het een redelijk groot probleem (behalve dan voor mensen die tegen modden/piracy zijn)

[Reactie gewijzigd door scribly op 22 april 2015 16:04]

Het kan in de weg zitten voor mensen die gemodde games spelen.
Als je bijvoorbeeld een hexeditor gebruikt om een bestaande exe aan te passen (voor iets kleins zoals de hoeveelheid levens/totale hoeveelheid health) dan zou windows al gaan klagen

En dan is er natuurlijk ook nog de groep mensen die niet al hun games helemaal legaal binnenhalen. Die zijn meestal gewijzigd en bevatten geen geldige handtekening meer.

Als er een makkelijke manier is om het dan toch toe te staan is er geen probleem, maar als het gewoon weg geblokkeerd wordt is het een redelijk groot probleem (behalve dan voor mensen die tegen modden/piracy zijn)
Dus jij zegt dat MS consessies moet treffen voor mensen die zich niet aan de spelregels houden en dat de goeden maar meer risico moeten lopen omdat er mensen zijn die zich niet aan de spelregels houden.
Zolang ik m'n software legaal binnenhengel maak ik zelf wel uit welke spelregels ik hanteer op m'n eigen PC
Hoe je het ook went of keert, je moet gewoon verstandig omgaan met je pc. De beste beveiliging beveigt nog niet tegen de grootste idioten . Dit is zeker wel handig voor de normale consumenten. Maar het moet niet zo zijn dat Windows 10 een soort OSX wordt.
Wat nu als ik programmeren aan het oefenen ben en eigen executables maak om simpele code uit te voeren? Dat kan dan niet meer, dus ik zeg ja. Wat als ik een spel koop en ik download het ook om die irritante DRM niet te draaien, is dat illegaal volgens de wet of is kan het volgens jou niet door de beugel?

Dit zijn zaken waar MS geen rechter voor hoeft te gaan spelen, hier zijn al genoeg andere instanties voor. Dus tijdens het configureren van Windows zou ik het heel fijn vinden om een keuze te hebben om dit aan of uit te zetten.

@Audio-Lover:

Ging me meer om de discussie als het wel zo wordt ingevoerd dat het niet meer uit te schakelen is. Merk nu dat mijn reactie iets harder uit de hoek kwam dan wat ik in eerste instantie bedoelde. Ik zie hier zeker ook baat bij vooral voor de mensen die niet of nauwelijks met een computer omgaan. Alleen als het wel 'altijd' aan staat, daar word ik niet blij van een geef ik ook aan dat ik het fijn vind om zelf die keuze te maken.

[Reactie gewijzigd door Rifleshader op 22 april 2015 21:14]

Dus heb je gewoon de optie om het uit te schakelen ;)

Microsoft is in dezen dan geen rechter, want uitschakelen kan en mag gewoon. Het deel van de gebruikers wat echter baat heeft bij een automatische inschakeling is vele malen groter dan het deel wat dit liever uit heeft. Plus, als je zelfs execs schrijft, je ook wel handig genoeg geacht mag worden om een tutorial op internet op te zoeken ;)
Systeembeheerders kunnen zelf een lijst aanleggen van toegestane applicaties.
Wat let je om je eigen applicaties aan een lijst toe te voegen? En als je programmeren wilt oefenen waarom maak je niet gebruik van een speciale ontwikkelings virtual machine? Zo gemaakt met het gratis VirtualBox/de nieuwe Hyper-V in Win10. Maak een aantal kopieen van een basis-VM en je kan ze ook nog eens specialiseren zonder dat compilers/SDKs/IDEs/whatever elkaar in het vaarwater gaan zitten.
Waarom zou je een game dat je gekocht hebt niet mogen modden voor single player?

*spoiler alert*
Ik ben zelf met een hex-editor aan de slag gegaan om te vermijden dat mijn Commander Shepard stierf op het einde van ME3, ik vond dat na het opbouwen van mijn character over drie lange games geen aanvaardbare optie en het was modden of eindeloos multiplayer spelen op lege servers om aan de benodigde war assets te komen.
*end spoiler alert*

Nu was het in dit geval wel de savegame die ik wijzigde ipv de executable.
Ik behoor nog tot de generatie die dit soort truukjes eind jaren 80 al uitvoerde.
Hoe is dan anders dan Smartscreen, behalve dan dat beheerders wat meer controle hebben over welke software zij als toelaatbaar zien?
Smartscreen is toch onderdeel van Internet Explorer waar het voorkomt dat je naar een malafide website browsed. Dit gaat om het installeren van applicaties die niet toegestaan zijn met behulp van een whitelisting
Smart Screen is onderdeel van Windows 8.
Het is ook die melding die je krijgt als je onbekende apps opent dat je op "Klik hier voor meer info" moet drukken voordat je het kan uitvoeren.

Lijkt mij ook dat dit een opvolger van Smartscreen word.
Smartscreen gaat sinds Windows 8 wat verder dan IE zelf. Zie ook: http://nl.wikipedia.org/w...ws_8:_Windows_SmartScreen.

Ik zie alleen hier dat het vooral op repuratie gebasseerd wordt terwijl Device Guard vooral over application signing gaat als ik dit zie. Dat zal het grote verschil wel zijn.
De enige manier om de beveiliging goed te doen is:

- Administrator-account inschakelen
- Wachtwoord erop zetten
- UAC op de hoogste instelling zetten

Dan moet je voor het installeren van een programma het admin-wachtwoord opgeven, netzoals bij OSX en Linux. Nog beter zou het zijn wanneer Windows 10 daarnaast niet meer standaarde exe-bestanden zou opstarten, maar een Execute-recht introduceert, dat je ZELF eerst moet aanzetten (net zoals Linux/Unix dat altijd al gehad hebben), bijvoorbeeld door rechts te klikken op de setup.exe file en te kiezen voor "Uitvoerbaar maken". Wachtwoord opgeven, en dan kun je installeren. De installer kan dan de exe-bestanden die bij het programma horen zelf op uitvoerbaar zetten.
Die rechten zitten al ingebouwd en kun je vast wel met een aantal policies zo aanpassen. Grote nadeel van UAC is dat het voor elk wissewasje je toestemming vraagt. Wat dat betreft is linux flexibeler van aard met oa. SElinux :)
Ik heb alles zo ingesteld; alleen het Execute-recht niet, want ik weet niet of dat in Windows bestaat. (Er bestaat wel een whitelist / blacklist via het register, maar dat is niet wat ik bedoel.)

Ik heb UAC op de hoogste stand staan, en je moet voor ALLES je wachtwoord opgeven ja. Eigenlijk moet ik eens bekijken wat het doet als ik het een stand lager zet, maar wel het wachtwoord voor de Admin ingesteld laat. Ook zou een mogelijkheid om aan te vinken "Niet meer om wachtwoord vragen binnen X minuten" wel de moeite waard zijn.

De mogelijkheden van Linux ken ik wel, en SELinux tot op zekere hoogte, maar ik kan dat OS niet gebruiken op mijn desktop. Ik heb het een aantal keer geprobeerd, maar er zijn een aantal Windows-programma's die ik niet kan (en sommige niet wil) vervangen, en Wine is niet de oplossing. Dat is teveel gehannes. Linux gebruik ik dus lekker voor file-, en web-servers.

[Reactie gewijzigd door Katsunami op 22 april 2015 19:35]

Tuurlijk zijn die rechten er:

- Full control
- Modify
- Read & execute
- Read
- Write
- Special permissions

;)
Oh, die. Natuurlijk, dat kun je instellen.

Een exe-bestand kan echter altijd worden opgestart. Vaak gaat het zo:

- Klik op een link.
- Mensen klikken op "Uitvoeren" in de browser.
- De vraag of het bestand moet worden uitgevoerd wordt klakkeloos met Ja beantwoord.
- De UAC-prompt wordt klakkeloos met Ja beantwoord.

Wat ik zou willen zien is dat de optie "Uitvoeren" verdwijnt, en dat een exe-bestand niet gestart kan worden als je niet specifiek uitvoerrechten ervoor hebt gezet. Dan kan malware nooit geïnstalleerd worden, behalve als je dit zeer bewust zelf doet.
dat een exe-bestand niet gestart kan worden als je niet specifiek uitvoerrechten ervoor hebt gezet.
Leuk idee.
Gebruik een security group die je execute deny geeft, zet die op je %systemroot%.

Uiteraard moet je nog steeds een DE of shell kunnen starten, anders kom je niet zover met een OS wat bedoeld is om ....... applicaties (executable content) te draaien.
Dat is ook niet de bedoeling.

Het is heel simpel: een bestand moet gewoon simpelweg niet standaard een programma kunnen zijn. Pas als je rechtsklikt en dan kiest voor "Uitvoerbaar maken" (een optie die je alleen zou moeten krijgen bij bestanden die daadwerkelijk uitgevoerd zouden kunnen worden natuurlijk) wordt er na het opgeven van het administratorwachtwoord een execute bit gezet en dan kun je het programma starten.

Als het een setup.exe-bestand is dat een programma installeert, dan kan deze setup zelf de execute-rechten van (bijvoorbeeld) programma.exe of main.exe zetten.
PE format dus afschaffen eigenlijk (want daar komt het op neer)..
Jammer joh. Gaat niet gebeuren.

Zet even je server pet af en doe een gemiddelde burger achter een persoonlijke computer na.
En besef dan dat dat een utopie is.

[Reactie gewijzigd door alt-92 op 22 april 2015 21:58]

Ik blijf erbij dat het makkelijk te realiseren zou moeten zijn met een NTFS-bestandsrecht dat standaard uit staat voor elk bestand; dus ook voor gedownloade exe-bestanden. Het enige dat volgens mij nodig zou moeten zijn is het Read & Execute-recht opsplitsen, en het aanzetten van het Execute-recht in het contextmenu hangen.

Maar OK, ik snap je punt. Het is een extra handeling, terwijl het voor veel mensen al lastig genoeg is om het verschil tussen de adresbalk van hun browser en het Google zoekveld te bevatten. Ik kan daarin komen. Ik heb ook geen verstand van de werking van auto's, en haal dus ook vaker de voor- en achterdeur door elkaar, bijvoorbeeld. Ik kruip dan vanaf de achterbank op de passagiersstoel. Werkt op zich prima.

[Reactie gewijzigd door Katsunami op 22 april 2015 22:41]

Ik blijf erbij dat het makkelijk te realiseren zou moeten zijn met een NTFS-bestandsrecht dat standaard uit staat voor elk bestand; dus ook voor gedownloade exe-bestanden.
Dat hebben we al, door het gebruik van ZoneIdentifiers in NTFS ADS.
Jammer genoeg vindt men thuis die extra handeling lastig en zet men dat vrij snel uit.
Zie UAC doorklik.


Enterprise omgevingen blocken rechtstreeks uitvoeren van dat soort content wel (en moet ik weer met streams -d aan de gang maar OK).

[Reactie gewijzigd door alt-92 op 22 april 2015 23:03]

wordt dus een 'whitelist' tool.. voor bedrijven misschien erg handig. particulier ook wel indien je alles uit de store haalt.
Echter denk ik dat malware jongens hier wel weer wat op vinden.. die business is niet voor niks zo groot..
Het geeft ze in ieder geval weer een uitdaging. Al lijkt het erop dat dit eerder op hardware-niveau zit?
Ja, zat me ook af te vragen of dit wordt geregeld door de hardware en hoe. Want zoals het er nu staat in het artikel, is het niets anders dan applocker. En dat zit er al in sinds Vista.
Moeten we dit dan zien als een aanvulling op of vervanging van applocker?
Denk als aanvulling / uitbreiding alsmede vereenvoudiging.
De normale huis tuin keuken persoon weet niet hoe ze applocker moeten instellen. Laat staan dat ze een server draaien.

Ik zie het als welkome aanvulling.
Hoe ik het lees is dat het hetzelfde zou moeten werken als met de signed drivers alleen dan nu voor Applicaties.
Dat met Virtualisatie zou ik denken aan dat een App die niet gesigned is in een VM wordt gegooid en daar in gedraaid gaat worden.
Alhoewel Virtualisatie ook niet 100% te vertrouwen is.

Ik ben benieuwd hoe ze Device guard gaat implementeren.
Is dit een vervanging of uitbreiding van Software Restriction Policies?
Is het cloud-managed via bijv. Intune?
Denk dat je het beter meer kan zien als een samengevoegde bal technieken.

Smart Screen van IE en Windows 8(.1), stukje EMET, stukje virtualisatie (of meer een soort hogere vorm van sandboxen) en inderdaad voor enterprise een stukje software restriction policies.

Zal voor consumenten cloud based zijn bij MS zelf, voor enterprise zoals gewoonlijk waarschijnlijk onderdeel van Windows 10 server (Windows Server 2016?)
Ik ben geen mobile device expert, maar wel software ontwikkelaar. Als je zelf code weet te compileren in een voor een platform (PC, mobile device, wat dan ook) en er is een manier op het daarop te zetten, buiten de 'officiele store' om, dan heeft dit maar beperkt zin. De personen die zelf een app weten te maken, weten die ook wel te signen.

Signen doe je met een certificaat, en die hangt van trusts aan elkaar. Zo'n certificaat kun je kopen. Of zo'n certificaat waarmee je signed garanties biedt, hangt af hoe veel zorgvuldigheid betracht wordt bij het verstrekken van zo'n certificaat. De kans is groot dat de mate van zorgvuldigheid bij het verstrekken van een certificaat groter is dan de zorgvuldigheid van een eindgebruiker die willekeurig apps installeert. Waterdicht is het echter nooit. Het is meer een beschermmiddel 'voor dummies'. Zeker als via trucs ook non-trusted apps gedraaid kunnen worden. Voor developers is het bijzonder onhandig dat ieder tussen resultaat gesigned moet zijn. Dus die truc om non-trusted te draaien zal er ook vast zijn.

Ik heb nog geen goede reden gezien waarom het malware schrijvers nu opeens een stuk lastiger gemaakt zou worden.
Precies, één en al schijnveiligheid want ook malware makers kunnen eenvoudig hun 'software' signen. Er zijn flink wat certificaten in omloop die tijdens hacks zijn buitgemaakt dus dat hele software signing verhaal is sowieso een wassen neus. Daarnaast is de root CA in feite in handen van met name Verisign en dat is een organisatie die net zo min te vertrouwen is als de NSA. Op basis van deze root CA worden organisatie vertrouwd die je maar beter niet kunt vertrouwen. Daarnaast is het hele certificering traject louter administratief dus is het nauwelijks na te gaan of de partij die een certificaat heeft aangevraagd ook daadwerkelijk de juiste partij is.
Ik denk dat Microsoft, net als vele andere commerciële partijen overigens, behoorlijk onder druk staan van overheden om dit soort controle middelen standaard in hun soft- en hardware op te nemen. Alleen moet het wat vriendelijker worden verkocht zodat de mensen denken dat de monitoring van hun gedrag en software hun gaat helpen om veilig te kunnen internetten. Of dat echt veilig is ligt geheel aan de definitie van het woord veilig.
De hardware jongens (Dell, HP, etc) hebben daar al heel lang een handje van. Dit zit dan meestal in de Bios verwerkt.
"Dit moet malwareproblemen verminderen."

Sure. Maar dat is niet de reden dat ze deze beveiligingslaag inbouwen. Zo wordt ook voorkomen dat software van niet-erkende derden wordt gedraaid, wat enkel in het nadeel van consumenten is.
Tot op zekere hoogte was dit eigenlijk toch al lang het geval: zeker bij drivers moest je en 64-bit Windows in 'test modus' zetten mocht je iets unsigned willen proberen (je eigen performance counter module bijvoorbeeld die een CPU instructie vertaalt naar een extentie op perfmon). Je kon sowieso op applicatie-niveau altijd dingen bewust negeren. Ik maak me niet zoveel zorgen: win10 is een modernisering van het paradigma PC (UEFI was daar een stap in, safe boot of niet...), en een vooruitgang qua model. Echter Windows 10 is tevens een poging van MS om de community terug te winnen: dat is érg krachtig van ze, maar ze zullen wel gek zijn als ze dat vergooien.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True