Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft herhaalt advies: update Windows 7 en XP en voorkom 'nieuwe WannaCry'

Microsoft drukt gebruikers van Windows 7 en XP op het hart om hun systemen te updaten. Een beveiligingslek dat een nieuwe situatie zoals met WannaCry kan creëren, is gedicht, maar naar schatting zijn een miljoen systemen nog vatbaar voor de worm.

Het gaat om cve-2019-0708, waarvoor Microsoft vorige maand een patch heeft uitgebracht. Microsoft zegt in de melding dat het er van overtuigd is dat een exploit voor de kwetsbaarheid bestaat, maar deze is nog niet gesignaleerd. Desalniettemin herhaalt Microsoft nu zijn advies om de systemen bij te werken omdat de EternalBlue-kwetsbaarheid, waar WannaCry gebruik van maakte, ook toesloeg terwijl er al 60 dagen geleden een patch beschikbaar was gesteld. De schatting dat er nog een miljoen kwetsbare apparaten zijn, komt van Errata Security.

Het gaat specifiek om Windows XP en Windows 7, en om Windows Server 2003, 2008, en 2008 R2. Het modernere Windows 8 en Windows 10 blijven buiten schot. Windows XP krijgt al sinds 2014 geen beveiligingsupdates meer, maar vanwege de ernst van het lek maakt Microsoft nu een uitzondering. Windows XP wordt nog in veel bedrijven en bij overheden gebruikt, omdat het duur of te ingewikkeld is om te upgraden naar een nieuwere Windows-versie. XP-gebruikers moeten de update wel handmatig downloaden. Bij Windows 7 gaat dat automatisch.

Het ontdekte lek zit in de Remote Desktop Services. Gebruikers bij wie de dienst aanstaat en openstaat voor het web, zijn kwetsbaar. Vanaf een geïnfecteerde computer kan de worm op lokaal niveau weer andere kwetsbare computers infecteren, ook die wat betreft Remote Desktop niet openstaan voor het web.

Door Mark Hendrikman

Nieuwsposter

01-06-2019 • 10:39

202 Linkedin Google+

Lees meer

Reacties (202)

Wijzig sortering
"Het ontdekte lek zit in de Remote Desktop Services. Gebruikers bij wie de dienst aanstaat en openstaat voor het web, zijn kwetsbaar"

Mensen / bedrijven waarbij de RDP services openstaat naar buiten voor deze machines vragen er wat mij betreft gewoon om om gehackt / aangevallen te worden. Als bedrijf heb je dan wel echt een hele incompetente ICT beheerder. (Net als de persoon die de audits doet trouwens)

Wil je perse bij je XP of W7 bak vanaf afstand gebruik dan i.i.g een VPN!

[Reactie gewijzigd door HKLM_ op 1 juni 2019 10:55]

Waarom? Net als SSH mag je best verwachten dat het veilig is.

Beetje hetzelfde als dat er een fout in je SSL bibliotheek zit je iedereen maar incompetent noemt omdat ze SSL gebruiken.

Het is gewoon een protocol.
Het is gewoon een protocol.
Het is niet “gewoon een protocol”. HTTP is ook gewoon een protocol, maar heb je niets aan zonder de software er achter. Bij RDP worden de software en het protocol meestal over 1 kam geschoren, maar eigenlijk gaat het bij die lekken niet om het protocol maar om de service die het aanbiedt. En die zit, net als alle andere software, vol met bugs. Zelfs als ergens momenteel geen bekende lekken voor zijn, zijn er nog talloze onbekende lekken. En dat heeft niks te maken met RDP, SSH of wat dan ook, maar met het feit dat software door mensen geschreven wordt en mensen inherent inconsistent en rommelig zijn.

En eigenlijk doet dat er ook niet eens toe. Het ging er om dat je nooit software waar geen ondersteuning meer op zit direct aan het internet moet hangen. Van ondersteunde software moet je al niet uit gaan dat het veilig is, maar van niet-ondersteunde software moet je altijd uit gaan dat het onveilig is. Of dat nou een oude versie van Windows is, of een oude Linux, of wat dan ook.
Omdat de genoemde Windows versies oude meuk zijn die niet meer bijgewerkt worden :P

Je laat als het goed is ook geen Linux bak met SSH uit het jaar 2001 aan het internet hangen.

Mijn grootste frustratie met het beheer van Windows servers is altijd dat mensen geen zin hebben om te betalen voor upgrades en dan maar door blijven draaien met oude zooi.

En wie mag het fixen als het stuk is? Poor silly me :'(

Ik ben ook van plan om in januari 2020 gewoon tegen mijn werkgever te zeggen dat ik geen Windows 7 en 2008 machines meer beheer.

Wil er simpelweg niet meer verantwoordelijk voor zijn.

Systeembeheer is een taak die ik erbij heb als ontwikkelaar, maar wel eentje waar ik eigenlijk graag van af wil (en mijn collega's ook).

[Reactie gewijzigd door Lethalis op 1 juni 2019 11:37]

Mijn grootste frustratie met het beheer van Windows servers is altijd dat mensen geen zin hebben om te betalen voor upgrades en dan maar door blijven draaien met oude zooi.
Betalen voor updates is dan ook eigenlijk een beetje raar.. waarom is dat niet gewoon onderdeel van de originele aankoop voor de levensduur van de hardware (minimaal 10 jaar dus, na verkoop van de hardware)?

[Reactie gewijzigd door Olaf van der Spek op 1 juni 2019 11:54]

Veel mensen gaan tegen je in. Ik ga even met je mee:

Windows XP kwam 25 oktober 2001 op de markt en de ondersteuning eindigde op 8 april 2014.
Windows 7 kwam 22 oktober 2009 op de markt en de ondersteuning eindigt op 14 januari 2020.

Dat betekend per Windows XP een support van 12 1/2 jaar! Plus nu nog een extra fix. Dat is toch langer dan die 10 jaar die jij noemt. Als je in 2010 een machine kocht dan had je die met Windows 7 kunnen krijgen en daar 10 jaar support op gekregen.

De mensen die nu nog XP draaien hebben dus een OS draaien dat al 5 jaar uit extend support is:
- Hebben oogkleppen op
- Draaien specifieke hardware zoals hier genoemd waarbij er geen drivers voor andere windows versies geleverd zijn (hopelijk hangt dit niet aan het internet).
- Durven niet over te stappen naar software wat onder actuele windows versies draait. Tijd/geld kwestie...
Je kan het ook anders bekijken, het zou voor bedrijven logischer zijn als de 10 jaar telt vanaf moment van aanschaf. Dat zou een stuk duidelijker zijn en een beter zicht geven op de werkelijke kosten.
Microsoft geeft bij het uitkomen van een os aan tot wanneer de support loopt. In mijn voorbeeld loopt dat ruim 5 jaar door na de introductie van een nieuw os. Je weet dus prima waaraan je begint en waar je rekening mee kunt houden. Is hier te vinden: https://support.microsoft...icrosoft-lifecycle-policy

Als je als bedrijf je kop in het zand steekt en niet zo snel mogelijk zorgt dat je up 2 date blijft is dat je eigen schuld. Het kost Microsoft (En uiteindelijk de klant) ook geld als ze het nog langer moeten ondersteunen.

Uitgezonderd het voorbeeld hierboven waarbij er voor specifieke hardware os eisen zijn(En deze van het internet afsluit). Al zou je van je leverancier ook updates moeten verwachten/ eisen bij aanschaf.

Als laatste, hoe lang loopt de support op je telefoon?

[Reactie gewijzigd door jongetje op 2 juni 2019 22:17]

Microsoft geeft bij het uitkomen van een os aan tot wanneer de support loopt. In mijn voorbeeld loopt dat ruim 5 jaar door na de introductie van een nieuw os.
Dit is interessante informatie als een klant iets te kiezen heeft. Maar die keuze is er niet. Een klant heeft dan gewoon pech als die een systeem met OS aanschaft wanneer dat OS zich aan de achterkant van de support periode bevindt. De klant kan immers nog niet kiezen voor een nieuw OS.

Het antwoord op deze kwestie weten we ook allemaal, rolling update. Nu heeft het rolling update mechanisme weer andere issues, maar dat is een andere discussie. Eigenlijk is de W7 en XP discussie ook een verleden tijd discussie. Ook aan W10 en rolling update Linux distributies zal een achtergrens zijn hoe lang een OS bruikbaar blijft, maar die grens wordt wel behoorlijk naar achteren gedrukt door het voortdurend bijgewerkt blijven. Ik zie deze discussie ook bij high end (what's in name) CAD software. Bij onze volgende migratie wordt dat een rolling update versie. Beter? Klanten klaagden over de hoge cost of ownership, mede door de dure migratie processen. Of met een rolling update de hele complexiteit van het migreren niet door een andere complexiteit vervangen raakt durf ik te betwijfelen. Tijd moet dat gaan leren.

[Reactie gewijzigd door teacup op 3 juni 2019 08:07]

De mensen die nu nog XP draaien hebben dus een OS draaien dat al 5 jaar uit extend support is:
...
- Hebben een oude laptop waarvoor Windows 7 toch echt te hoog gegrepen is
- Zijn dolblij dat als ze die uit de kast halen hij niet geforceerd honderden updates gaan downloaden en installeren
- Verbinden hem toch niet met het internet
Waarom zou hardware een levensduur hebben van 10 jaar? Normaliter is dit in de regel maximaal een jaar of 5.

Verder heeft hij het niet over betalen voor updates. Deze zijn gewoon gratis, en MS geeft deze normaliter voor 10 jaar in toen geldende lifecycle model .

Hij heeft het over betalen voor upgrades. Dus van bijv. Windows Server 2008 naar Windows Server 2016. Die worden inderdaad niet gratis weggegeven door MS.
Waarom zou hardware een levensduur hebben van 10 jaar?
De praktijk laat gewoon zien dat hardware veel langer mee kan dan die 5 jaar. Of zou hardware die nu nog XP draait in de laatste 5 jaar geleverd zijn?

Sandy Bridge is bijvoorbeeld al 8 jaar oud, de performance is niet meer high-end maar het werkt nog prima, zeker voor een business / internet / office PC.

[Reactie gewijzigd door Olaf van der Spek op 1 juni 2019 13:49]

De praktijk laat ook zien dat bedrijven heel vaak frankenstein machines in dienst heeft “want dan kan het nog ff” updaten/upgraden kost geld en deze machine is al terugverdiend en hij werkt toch nog...

En daar gaat het ook vaak fout, net zoals het update beheer want oh oh stel een applicatie draait daarna niet meer. Het is een gevaarlijk spelletje dat soms gespeeld word en helaas heb ik gewerkt bij een wel bekende ISP en televisie leverancier die zijn hele klantenbestand heeft staan op een oude machine die al HEEL LANG geen updates meer heeft gekregen en toch (gelukkig door vpn tunnels) aan het web hangt om zo in verbinding te staan met de klantcontactsystemen die gebruikt worden bij callcenters op een aantal plaatsen in het land
Daar gaat het idd ook om. bedrijven hebben gewoonweg geen zin om na 10 jaar de hardware en de software te updaten.Er zit gewoonweg een kosten plaatje aan verbonden.Maar meestal krijg je bij nieuwere hardware ook meestal gratis windows erbij geleverd.Het is gewoonweg te duur omdat bedrijf x nog 1000 weknemers in dienst heeft kijk dan word het kosten plaatje nog groter.En daar hebben ze geen zin in.
de ceo van zo een bedrijf zegt gewoon kijk deze windows xp machine voldoet nog aan de eisen die we stellen wat hard en software betrefd en gaan niet zo snel meer over naar een andere modernere en snellere windows machine.En daar hebben ze eigenlijk gelijk in.Wat geld betrefd, maar kwa veiligheid slaan ze de plank mis wat bijna alle kwetsbaarheden zitten in windows 10 niet of althans nog niet ontdekt
bovendien krijg je bij windows 10 wel major updates en kleinere updates.En dat kunnen ze met windows 7 en xp niet meer garanderen omdat de hardware een platform lager is plus komt er nog eens bij dat de techniek van de hardware amd,intel asus ibm altijd al razendsnel is loop je als snel achter wat support betrefd.want laten we eerlijk zijn volgend jaar komen ze weer met een ander platform uit.
De laatste keer dat ik keek was mijn Dell 4310 10 jaar oud. Ding doet het nog als nieuw en is niet veel trager dan een mainstream core i5. Draait wel Ubuntu 18.04 met laatste patches en levert nog elke maand een leuk bedrag aan inkomsten op. Ik ga er voorlopig nog geen afscheid van nemen. Voor het geval dát is er een backup scenario met AWS vps.
Wat voor inkomsten? Leer mij.
Maar dat is natuurlijk niet wat ik bedoel, dat een individuele machine het 10 jaar uit kan houden lijkt me duidelijk. Maar ga bijv een na hoeveel Dell 4310's er verkocht zijn en hoeveel daar nu nog van in gebruik zijn.

Waar ik echter meer op doelde is dat Olaf aangeeft dat "hardware" minimaal een ondersteuning zou moeten krijgen vanuit de fabrikant voor een periode van 10 jaar na verkoop. Ik ben dan vooral benieuwd uit welke wetgeving Olaf dat zou halen.
Lijkt mij ook niet reeel, maar helaas zijn er nog vele werkgevers die vrolijk op w7 zitten of erger nog XP.
Bij ons draaien er ook nog xp machines. In een eigen, van internet afgesloten subnet. De devices die ze moeten aansturen kosten soms miljoenen en stammen uit het xp tijdperk. Wil je upgraden dan moet je ook meteen even een nieuwe electronenmicroscoop aanschaffen. De afschrijfperiode is dan opeens een stuk langer ;)
Ik heb nog gewerkt in een bedrijf waar hun meet toestellen voor de dikte van de wafers te meten voor ic's nog op Windows 95 (uv meting) en 1 type was met microscoop meting op msdos draaien is 4j geleden. Staat los van het internet maar toch raar om te zien.
Had Gates niet een handgetekende brief met een belofte voor levenslange gratis support bij jouw XP Home Edition licentie gestopt? Gek hoor....
Ik ben heel benieuwd naar de bron. Ik kan er niets over vinden in elk geval.
Ah, was sarcasme, uiteraard kan je verwachten dat een product niet oneindig ondersteund gaat worden.
Ah. Er gaan tegenwoordig zoveel hoaxes rond, dat je het niet meer zeker kan weten.
Betalen voor updates is dan ook eigenlijk een beetje raar.. waarom is dat niet gewoon onderdeel van de originele aankoop voor de levensduur van de hardware (minimaal 10 jaar dus, na verkoop van de hardware)?
Ten eerste hebben we het over software van 18 jaar oud, dus de levensduur van het product is ruimschoots voorbij. Na XP zijn er 4 major releases van Windows geweest.
Ten tweede is security inherent een kat-en-muis spel. Wat vroeger veilig was, is dat nu niet meer, hetzij door ontdekte zwakheden, hetzij door toegenomen rekenkracht om iets te bruteforcen. Waarom zou een bedrijf gratis iets bij moeten werken, als het buiten hun schuld om ingehaald wordt door de tijd?
Ten derde zijn updates van MS doorgaans gratis. Misschien bedoelt @Lethalis eerder dat een bedrijf hem betaalt om de boel te patchen. Systeembeheer, zeg maar.
Ten eerste hebben we het over software van 18 jaar oud,
XP was tot ongeveer 2007 de nieuwste versie van Windows.
En dit gaat niet alleen over XP toch?
Waarom zou een bedrijf gratis iets bij moeten werken,
Hoezo gratis? Er wordt toch betaald bij de aanschaf?
Ook dat is inmiddels +-12 jaar geleden. En je betaalt bij aanschaf voor de versie die erbij zit. Niet voor upgrades.
Niet voor upgrades.
Maar wel voor security support, of niet?
In dit geval wel ja, in principe tot het eind van de extended support. En die is in 2014 al verlopen voor xp. Dat is 5 jaar geleden....
Windows 7 zit nog in support en krijgt dus ook gewoon een update.

[Reactie gewijzigd door Dennism op 1 juni 2019 13:49]

Misschien. Maar dan nog steeds tot een bepaald punt. Het is niet redelijk om te verwachten dat een OS na 15 jaar nog geüpdate wordt.
Er wordt betaald voor een bepaalde duratie van support, die ruimschoots voorbij is.

Zo moeilijk is het niet. Microsoft kan niet die oude besturingssystemen blijven ondersteunen.
Ook al kan de levensduur van hardware 10 jaar zijn dit is niet de tijd waarvan je mag uitgaan bij dit soort hardware, na een jaar of 3-4 is de rek er al heel gauw uit
De hardware en de software moet je toch eigenlijk als 2 producten zien. Da's 'n goed idee wanneer kopers van het apparaat óók de nodige software erbij kopen.
Maar steeds vaker besluit de gebruiker dat ze geen W10 maar 'iets anders' willen hebben.
En dan werkt je idee natuurlijk niet.
omdat de maker van de hardware, niet de software (os), maakt/beheert
Als jouw werkgever zichzelf enigszins serieus zou willen blijven nemen zouden ze jouw standpunt zelf ook moeten delen.

Maar terecht dat jij die verantwoordelijkheid niet meer wil in ieder geval.
Mijn grootste frustratie met het beheer van Windows servers is altijd dat mensen geen zin hebben om te betalen voor upgrades en dan maar door blijven draaien met oude zooi.
Het is gewoon een kwestie van risico-afwegingen maken. Als je niet de moeite neemt om de ontwikkelingen bij te houden, loop je vanzelf een keer tegen software wat niet meer op een dergelijk oud OS draait. Wat dan? Dan moet je (vermoedelijk onvoorbereid) handelen en in de regel kost dat uiteindelijk meer dan wanneer je een goed voorbereid plan hebt.

Als je niet de moeite neemt je OS up to date te houden en je loopt een virus of iets dergelijks op, ben je met een beetje geluk alleen je dagproductie kwijt maar met een beetje pech ben je álles kwijt. Bij sommige bedrijven kost een dag productieverlies al meer dan de upgrade van een OS op het gehele computerpark, laat staan wat het kost als je meer kwijt bent.

Windows 7 / 2008R2 worden volgende maand 10 jaar. Ik neem aan dat de hardware waarop het draait niet even oud is. Als je periodiek je hardware vervangt, krijg je er in vrijwel alle gevallen al het laatste OS bij (in elk geval desktops, servers is vaak een ander verhaal) dus dat is al een vrij natuurlijk moment van upgraden. Tenzij je er bewust voor kiest om hardware niet te vervangen en door te draaien tot het FUBAR is. Bespaart misschien aan de voorkant wat geld, aan de achterkant zijn de rapen goed gaar als een computer of server uit eigen beweging de geest te geven en je op die manier productie misloopt.

Kwestie van risico's afwegen en (financieel) plannen.
Ik ben ook van plan om in januari 2020 gewoon tegen mijn werkgever te zeggen dat ik geen Windows 7 en 2008 machines meer beheer.
Ik mag hopen dat je dat al (meermaals) gezegd hebt. Om nou op 13 januari tegen je werkgever te zeggen dat van af 14 januari de support afgelopen is, is niet echt heel erg tactisch. Ik weet niet hoe jullie computerpark eruit ziet en hoe groot het bedrijf is maar als er nu nog geen stappen zijn gezet, zou ik het maar even heel snel kenbaar gaan maken. Laat de risico-afweging dan maar aan je werkgever over.
Mijn Win7 wil zelf niet updaten :( Wat moet ik dan. Heel af en toe heb ik toch windows nodig.
Er zijn wel handmatige patches for the updater van windows 7 moet je even zoeken dan wil die wel weer automatisch updaten.

Zo heb ik windows 7 updater moeten patchen omdat mijn CPU "zogenaamd" niet ondersteund wordt en daardoor wou hij geen updates meer installeren. grote onzin natuurlijk.
Gebruik WSUS offline, dan kun je ook alleen de veiligheidsupdates binnenhalen en de telemetrie en andere ongein blacklisten. https://www.wsusoffline.net/
Werkt ook perfect met windows VM's binnen linux.
Dan moet je een nieuwe versie aanschaffen als je veiligheid wil.
Ik heb niet over versies, er staat als je RDP aan het internet hebt hangen dat je een sjap bent. Daar ben ik het niet helemaal mee eens.
Ik heb niet over versies, er staat als je RDP aan het internet hebt hangen dat je een sjap bent. Daar ben ik het niet helemaal mee eens.
De encryptie van RDP is zwak, die is allang gekraakt, dus als jij dat gebruikt op het internet, dan speel je een gevaarlijk spel.
Vreemd, want moderne RDP gebruikt namelijk gewoon standaard TLS. Dat dit niet geldt voor de hiervoor vatbare versies is een heel ander verhaal - met NLA ben je sowieso al niet direct vatbaar.
RDP niet direct aan internet is al een best practise sinds zeker begin van deze eeuw.
Dat was pre XP SP2, daar kan ik nog wel inkomen, Je zou verwachten dat ze het in 20 jaar wel robuust zouden krijgen. :)
Dat is het op zich ook wel. Daar heb je RDG's voor of je implementeert VPN bijvoorbeeld. RDP direct naar buiten open zetten is bij mijn weten, ook niet na sp2, een best practise geweest.

In bepaalde security audits volgens mij zelfs instant fail.
Nogmaals, ik snap niet wat er raar aan is dat je verwacht dat als je een service gebruikt dat deze zich gewoon gedraagt zoals het hoort.

Je mag toch verwachten dat een service niet omvalt vanwege malformed data? Dat is toch niet raar ofwel?

Je verwacht toch ook dat je RDG of VPN server zich gewoon gedraagt zoals het hoort? Dat het gebeurt is een tweede maar dat maakt mijn originele punt niet minder valide.
Omdat software bugs heeft. Ervan uitgaan dat software geen bugs heeft is vragen om moeilijkheden, zeker als andere mensen er baat bij hebben om die bugs te exploiteren.

Dus nee. Je kan niet verwachten dat software zich foutloos gedraagt. Wat je wel kan verwachten is dat je vroeg of later een patch moet uitvoeren, omdat er een lek *gevonden* is.

In de tussentijd is het niet meer dan logisch om te zorgen dat niet meer mensen toegang tot die host hebben dan noodzakelijk is, dmv firewalls en whitelists en vpns.
Het is een best practice om het aanvalsvlak te verkleinen. Diensten die niet nodig zijn horen niet open te staan vanwege mogelijke lekken.

In principe zou je niks van het internet inkomend moeten openzetten (als bedrijf) behalve poort 80 en 443. En de IP-terminatie hoort dan ook meteen op een proxy of een security-device plaats te vinden.

Dan kun je ook nog een VPN hebben voor remote werken (met benodigde poorten), maar het kantoornetwerk hoort wel gescheiden te zijn van het server-produktienetwerk.

Op de VPN-server kun je dan ook netjes en makkelijk loggen wie/wat/wanneer.

[Reactie gewijzigd door Keypunchie op 1 juni 2019 15:49]

RDP is maar 1 poort, 3389, maar dat even daargelaten. Maar je gaat voorbij aan mijn originele punt dat je best mag verwachten dat een service waarop een authenticatie laag zit gewoon werkt naar behoren.

Blijkbaar is de vraag naar dit soort oplossingen best groot, zie teamviewer.

De rest is een leuk verhaal maar niet relevant.
geen 2008 machines meer beheenr? en wat doe je als daar iets kritisch op draait en er voor die levensnoodzakelijke software (bv aansturing rx machine) nog geen certificiering in orde is voor een latere versie van windows server?

kortom appelen en peren, best leuk dat jij dat blijkbaar kan afdwingen, dat gaat niet overal. ik keur het niet goed laat dat duidelijk zijn (nog 2008 versies hebben hangen) maar het gebeurt en iemand is er nu eenmaal verantwoordelijk voor.
Laat ik het nuanceren dan: ik wil geen oude Windows versies die direct aan het internet hangen.
Nee dat mag je niet verwachten van RDP. Er zijn niet voor niks RD gateways in het leven geroepen. RDP op zich is bedoelt voor intern gebruik. En ja ook dan is zekere veiligheid wel gewenst, maar dat is niet te vergelijken met de grote boze buitenwereld als je het mij vraagt.
Dit snap ik niet, waarom mag je dat niet verwachten? Er zit een authenticatie laag in en als je niet de juiste credentials kom je er niet in. Dat het een brakke implementatie is doet aan de zaak toch niet af?

Als de software gewoon zijn werk doet is het in principe toch niet anders dan elke andere service?
Nou ik bedoel het in de zin van als je er vanuit gaat dat het veilig is.. "Assumption is the mother of all..."

Het zou veilig moeten zijn, maar als er een bug bekend is die je niet patcht, dan kan is het uiteraard beter er nog een laag tussen te hebben.
Dus je zet helemaal niks open naar internet? Ook geen webservers of VPN servers, want je weer maar nooit..... Heartbleed anyone?
Nee je schermt je lagen af. Een webapplicatie praat bijvoorbeeld nooit direct tegen een database aan en al helemaal niet een database waar je ook mutaties op kunt doen. Die hangt in een intern netwerk waar de api applicatie tegenaan kan praten en waar je het liefst gescheiden applicaties hebt voor lezen en schrijven. Bij een lek in de schrijfkant kun je die dan uit de licht halen terwijl je leeskant het dan nog wel doet.
Toepassingen zijn voor een bepaalde omgeving ontworpen. Thuis heb je op de voordeur een ander slot zitten dan op de tussendeuren in je huis. Toch kun je beide deuren niet openmaken als je de juiste sleutel niet hebt. De ene situatie vergt nu eenmaal een robuuster ontwerp dan de andere. RDP is ontworpen voor intern gebruik en niet om aanvallen vanuit de hele wereld af te slaan.
Als er geen bug zou zijn zou er ook geen probleem zijn met het aanbieden van RDP aan de buitenkant. Sterker: als je NLA aan hebt staan is deze bug ook alleen te misbruiken als je een valide account hebt, en dus alleen door iemand die toch al naar binnen mocht, waardoor het aantal aanvals-vectoren al flink hoger is.
Een RDGateway is er dan ook niet persé voor de veiligheid, al zorgt deze voor een extra validatie-stap.
Een RDGW doet 2 dingen: tunnelen over HTTPS, met alle voordelen va dien zoals bijvoorbeeld het simpelweg naar buiten mogen vanaf veel netwerken; het lijkt immers gewoon HTTPS verkeer dat over 443 naar buiten gaat. De extra laag is leuk, maar RDP is van zichzelf ook al versleuteld.

Daarnaast zorgt de RDGateway voor een ‘poort naar de binnenkant’ zodat je via één ingang (en dus over 1 IPv4 adres) toch naar een heleboel via RDP ontsloten servers of desktops kunt. De RDGateway kan dat overigens ook in een een redundant setup doen en eventueel in samenwerking met een session broker.
Deze functie is vergelijkbaar met een reverse proxy, en misschien wel de belangrijkste rol van de RDGW.
Als er geen bug zou zijn zou er ook geen probleem zijn met het aanbieden van RDP aan de buitenkant. Sterker: als je NLA aan hebt staan is deze bug ook alleen te misbruiken als je een valide account hebt, en dus alleen door iemand die toch al naar binnen mocht, waardoor het aantal aanvals-vectoren al flink hoger is.
Een RDGateway is er dan ook niet persé voor de veiligheid, al zorgt deze voor een extra validatie-stap.
Een RDGW doet 2 dingen: tunnelen over HTTPS, met alle voordelen va dien zoals bijvoorbeeld het simpelweg naar buiten mogen vanaf veel netwerken; het lijkt immers gewoon HTTPS verkeer dat over 443 naar buiten gaat. De extra laag is leuk, maar RDP is van zichzelf ook al versleuteld.

Daarnaast zorgt de RDGateway voor een ‘poort naar de binnenkant’ zodat je via één ingang (en dus over 1 IPv4 adres) toch naar een heleboel via RDP ontsloten servers of desktops kunt. De RDGateway kan dat overigens ook in een een redundant setup doen en eventueel in samenwerking met een session broker.
Deze functie is vergelijkbaar met een reverse proxy, en misschien wel de belangrijkste rol van de RDGW.
Je zegt "maar RDP is van zichzelf ook al versleuteld.", dat klopt, en wel heel zwak, die versleuteling is allang gekraakt.
Je zegt "maar RDP is van zichzelf ook al versleuteld.", dat klopt, en wel heel zwak, die versleuteling is allang gekraakt.
Heb je daar informatie over?

Los van eerder ontdekte bugs natuurlijk, maar dus dat een RDP verbinding tussen up-to-date system (inclusief CredSSP) onveilig is?
[...]

Heb je daar informatie over?

Los van eerder ontdekte bugs natuurlijk, maar dus dat een RDP verbinding tussen up-to-date system (inclusief CredSSP) onveilig is?
Voorbeeld: https://www.tenable.com/plugins/nessus/18405
Er is zat over te vinden.
Key is SSL/TLS inzetten.
18405 is een bug uit 2005 toen encryptie nog optioneel was.
Ook al is dat zo, we hebben het hier over een worm die gewoon de service aanvalt en omdat deze croakey gebouwd is, mijn punt was dat RDP inherent niet slechter zou zijn dan SSH openzetten.

Zelfs een een robuuste telnet client zou gewoon open moeten kunnen staan, als je de gebruikersnaam en wachtwoord niet weet moet een service gewoon kunnen functioneren. Ja ik weet dat telnet plaintext de gegevens over stuurt maar als deze gewoon luistert en er geen MITM is moet deze gewoon zijn werk kunnen doen zonder om te vallen.

Dat je patchen moet is een gegeven.
Het is gewoon een protocol.
Het ligt niet aan het protocol, maar aan de implementatie. Zo is er bijvoorbeeld xrdp, een open-source implementatie van het RDP protocol. Dat heeft geen last van deze kwetsbaarheid.

Sowieso is het onverstandig om een niet meer ondersteunde (XP/Server 2003) implementatie direct op Internet aan te bieden. Ook kan je kijken naar de architectuur. RDP in Windows zit best wel diep geïntegreerd, en je kan verwachten dat je daarmee een groot aanvalsoppervlak ontsluit (zeker als geen NLA gebruikt wordt). Er zijn gratis VPN oplossingen (OpenVPN) die het gevaar grotendeels kunnen mitigeren.

[Reactie gewijzigd door The Zep Man op 1 juni 2019 11:51]

En sowieso niet slim om toe te staan dat machines die direct aan het internet hangen mer services meer dan 60 dagen achter te laten lopen met updates.
Leuk dat je nou net SSL als voorbeeld neemt. De drie versies die er zijn zijn alledrie zo lek als een mandje. Je browser weigert het te gebruiken en als je het aan laat staan in je webserver wordt je uitgelachen in de kroeg. (En TLS 1.0 en 1.1 gaan de komende maanden dezelfde kant op, ook inherent niet-te-fixen lek.)

Slecht voorbeeld, dus.
Als er een fout in TLS wordt ontdekt dan zeggen we toch ook niet dat iedereen die TLS gebruikt een prutser is?
Iedereen die na juli 2020 nog TLS1.0 gebruikt is tegen die tijd zeer zeker een prutser te noemen.
RDP was historisch nooit een goede kandidaat om zomaar naar buiten open te zetten. Vroeger werd daar meestal een SSH-tunnel of een VPN voor opgetuigd. Tegenwoordig heb je gateways als officiële oplossing.

[Reactie gewijzigd door mae-t.net op 1 juni 2019 19:22]

RDP gebruikt het low-level UDP in plaats van TCP. Bij UDP is een service kwetsbaar voor buffer over- en under-runs, bij TCP wordt er meer door het OS afgehandeld en dat voorkomt meestal deze low-level kwetsbaarheden.
SSH hang je ook niet gewoon aan het internet.
Die firewall je, en/of je gooit hem op een VPN.

Moet je voor de gein eens een logger aanzetten op je SSH voor failed logins. Daar wordt je eng van, hoeveel gautomatiseerde probes er zijn.
En nieuwe exploits kunnen altijd voorkomen, en als je dan ergens in een lijst van bereikbare SSH server staat dan loop je al snel achter de feiten aan.

Er blind op vertrouwen dat iets veilig is terwijl je gemakkelijk andere barrieres op kunt gooien, is gewoon niet zo slim.
Dit is een Tikkeltje Naïef natuurlijk :)
Waarom? Dat de realiteit anders is wil natuurlijk niet zeggen dat je niet mag verwachten dat iets werkt zoals het hoort.
Software is een mensen product, mensen maken fouten.

Als jij over ICT gaat in een beetje bedrijf waar gevoelige informatie opgeslagen wordt dan hoef je met dit verhaal niet aan te komen bij de rechtbank. (Meldplicht/GDPR etc)

Je zal de bok worden voor grove nalatigheid, en terecht. Neemt niet weg dat je 100% secure bent achter een VPN / 2way factor / rsa token / ssh-keys / DMZ'des cyber-doods bent. But at least you tried.
Het ligt wel iets complexer dan dat. SSH hoor je ook niet open te hebben staan voor jan en alleman. het liefst heb je zelfs dat het alleen via een VPN netwerk te benaderen is. als dat niet het geval is wil je dat IP's gewhitelist moeten worden voordat ze kunnen inloggen. SSL is heel wat anders omdat het geen service is, maar een beveiligingslaag die in services word aangebracht.
Github heeft gewoon SSH open staan voor jan en alleman. Hoe denk je anders dat je Git Clone kan doen met SSH?
Dat zijn vrij specefieke usecases waarbij het de bedoeling is inderdaad dat het voor iedereen open staat. wat ik vooral probeer te zeggen is dat je dingen zo geconfigureert hoort te hebben dat je op meerdere lagen mensen tegenhoud die niks te zoeken hebben bij een bepaalde service. of dat nou een webserver is of ssh server maakt niet uit.
Dat is geen SSH met shell toegang erachter. Daarbij wordt SSH enkel als een transport voor het GIT protocol gebruikt.
Jij dacht dat er 1 ssh server draait op 1 server van github :-)

Zijn ongetwijfeld een gazillion geknipte sshd/containers in een mamooth van een OpenSHift/Kubernetes cluster. Dat vind je echt niet de local admin/developers accounts tussen.
Waar praat ik over een protocol? Ik heb het over het naar buiten zetten van RDP.
Waar staat de "P" in RDP voor?
Als bedrijf heb je dan wel echt een hele incompetente ICT beheerder. (Net als de persoon die de audits doet trouwens)
auditors kunnen enkel wijzen op risico's, zij mogen geen implementaties doen. Degene die hun rapporten heeft gekregen en beslist over de infrastructuur is dan degene die je mag verwensen
Voor mensen die deze services in windows 7 willen disablen.

Run (uitvoeren) - services.msc - er zijn drie services die met "Remote Desktop" beginnen. Deze alle drie op disabled (uitschakelen) zetten.

Natuurlijk als je programma's heb die gebruik maken van deze service ga je foutmeldingen krijgen.
Maar wanneer de besmetting van binnen het netwerk komt, heb je daar niks aan.
Audits? Denk dat jij dan in een uitzonderlijke situatie zit, want ik ken maar weinig bedrijven waar men netwerk/systeem audits uitvoert.
Als je bv een website voor ons zou hosten dan praten we al snel over Isoxxxxx, gdpr compliancy report en audiomt report van de infrastructuur.

Zo uitzonderlijk is dat toch niet, daarenboven verwachten onze klanten dit ook van ons.

[Reactie gewijzigd door klakkie.57th op 1 juni 2019 16:35]

Tja, zoals ik dat al zei, komt waarschijnlijk door de sector waar je in zit,maar zoals ik al zei een hoop bedrijven hebben nog nooit van hun leven zo'n audit gehad, zelfs niet als ze met zeer avg gevoelige informatie werken.
Het is niet alleen naar buiten een probleem, als een exploit de virusscanner voor is kan één machine (buiten besmette laptop, besmette file in mail, foute download, etc.) in je LAN alle machines waar RDP aan staat direct of indirect besmetten.
Ik heb de indruk dat je slechts Windows hoeft te installeren om er om te vragen.
Ik had niet verwacht dat Microsoft nog Windows XP uit 2011 nog gong ondersteunen in 2019!

Ik dacht dat ze al in 2014 stopte.
Windows XP krijgt al sinds 2014 geen beveiligingsupdates meer, maar vanwege de ernst van het lek maakt Microsoft nu een uitzondering.

Daarom dus.
Nog tot April 2019 kon je ondersteuning krijgen voor PosReady 2009 wat gebaseerd is op Windows XP SP3, diezelfde updates kun je ook installeren op de gewone Windows XP SP3.
Dus eigenlijk had Windows XP ook nog gewoon 5 jaar extra update-support.
Die uitzondering was wat mij betreft ook gewoon een sigaar uit eigen doos want degenen die nog XP draai(d)en en wel up-to-date willen blijven zaten al op het PosReady 2009 kanaal via een hack, gewoon via Windows catalogus zelf of een update subscription.
bestaat dit voor windows 7 ook? Heb hier nog een win 7 laptop die ik owv compatibiliteitsproblemen niet kan upgraden naar windows 10 maar waar extended support dus in jan 2020 eindigt
Ja! Er bestaat ook Windows 7 Embedded die nog een extra 20~ maanden support heeft nadat de support van de gewone Windows 7 is beëindigd.
Ik weet niet of er ook een hack voor mogelijk is om deze dan automatisch via Windows Update binnen te halen, maar je kunt wel gewoon de Windows 7 Embedded updates downloaden via de Windows update catalog en deze dan installeren.
Zijn de compatibiliteitsproblemen licentie/legal related ?
Out of luck, anders is het 9 van de 10 op te lossen.
Hoi, nu we het toch over hebben, heb voor XP de gewone exe gedraaid een poosje geleden al maar omdat ik een aantal jaren in het register een waarde op POS heb gezet kreeg ik dus die Updates nog binnen, nu de vraag;

Zou ik nu toch ook die andere exe (embedded) moeten draaien of als ik ze alle 2 erin doe toch geen problemen krijgen.
Mvrgr. ...
Win XP embedded kreeg nog wel een langere tijd updates welke met een simpele registry hack ook op gewone XP machines te installeren was.
https://www.pcworld.com/a...rity-updates-rolling.html

Voor mij is dit weer een typische melding en bangmakerij om de verkoop van Win10 een boost te geven, een goede firewall en virusscanner als ook de user niet als een admin te laten werken kan een hoop ellende voorkomen.
Vraagje voor wie het weet, ik draai ook rdp thuis maar de externe poort die open staat is niet de standaard poort voor die dienst, zeg bijvoorbeeld dat poort 9999 open staat. Kan je zo een worm om de tuin leiden? Of zit daar doorgaans wat meer intelligentie achter? Maw, als een poort open staat, kan er dan herleid worden welke service daarachter draait?
Het lijkt me niet zo moeilijk om een worm zo te programmeren dat die een reeks poorten afloopt om daarop te kijken of "het lukt".
Daarmee is niet gezegd dat de in omloop zijnde wormen dat ook doen, maar ik zou me niet al te veilig voelen met deze opzet.
Vraagje voor wie het weet, ik draai ook rdp thuis maar de externe poort die open staat is niet de standaard poort voor die dienst, zeg bijvoorbeeld dat poort 9999 open staat. Kan je zo een worm om de tuin leiden? Of zit daar doorgaans wat meer intelligentie achter?
Dat hangt er vanaf hoe slim de worm is, maar ik zou er niet vanuit gaan dat het iets tegenhoudt. Poorten lopen verschuiven valt onder ‘security by obscurity’, en dat is (als beveiliging) nooit een goed idee.
Maw, als een poort open staat, kan er dan herleid worden welke service daarachter draait?
Ja, dat kan sowieso. nmap -sV bijvoorbeeld.
Simpele portscan laat zo zien wat er open staat.... dit is wat je noemt 'security through obscurity' : verstop een poort en doe net alsof die er niet is :)

Een beetje worm scant alles op jouw IP (voor thuisgebruikers: je modem/router/firewall) en ziet vanzelf wel welke poort waarop reageert. Poort 8443 in plaats van 443? -> https ... poort 3390 in plaats van 3389? -> RDP. Even een pakketje erheen sturen en kijken wat er als antwoord komt en de worm in kwestie weet alles van jouw netwerk.
Thanks! Volledig duidelijk. Ga ik vandaag nog even aanpakken.
Door het wijzigen van deze poort leidt je het verkeer om. Dit zal de kans (iets) verkleinen dat je last kan krijgen van meelifters/kijkers.

Als iemand gericht op zoek is en heeft de middelen (portscans), heeft snel door dat het dus over een andere poort loopt.

Ik weet niet hoe dit precies te werk gaat, maar weet dat dit mogelijk is.

Om deze reden staat deze poort uit voor de buitenwereld en "kan dit alleen thuis gebruiken". Via een VPN (Rassberry Pi) maak verbinding naar mijn thuis netwerk, voordat uberhaupt RDP kan gebruiken.

Ook zou TeamViewer schijnbaar ook over VPN lopen. Denk alleen dat licentietechnisch niet voor ieder handig is. Zoals beperkte verbindingstijd.

[Reactie gewijzigd door m.z op 1 juni 2019 16:16]

Als je het insteld op een niet logisch poort 4000 ofzo loop je minder risico idd, veel virussen gaan niet tot 65535 scannen per ip omdat het dan te lang duurt en gaat opvallen.
Ik zou zeggen kijk of je jezelf op shodan kunt zien. ;) RDP is NOOIT een goed idee op het internet. Gebruik alsjeblieft iets van OpenVPN.

En ja er word gewoon portscanning gedaan bijna permanent.

[Reactie gewijzigd door EraYaN op 1 juni 2019 11:54]

Een hoop wat duurdere routers hebben ook ingebakken VPN servers, ook wel handig.
Zelf heb ik een d-link dir880l, en daar gebruik ik de L2TP/IPSEC vpn van.
Misschien een idee om te kijken of je router in iets voorziet.
VPN's zijn deprecated? Wat? Natuurlijk RDG's werken prima voor RDP, maar een VPN doet zoveel meer, en zijn in mijn beleving helemaal niet deprecated, volgens mij wordt OpenVPN, AnyConnect en IPSec en vele andere not prima gesupport en ontwikkeld.
Lees goed: Bijna.
VPN wordt in het bedrijfsleven op dit moment ingehaald door diensten zoals RDG, en MAPI over HTTPS. In de zakenwereld is er voor end users bijna geen enkele reden meer om een VPN client te gebruiken.
Dus je bedoelt dan blijven alleen maar alle site-to-site VPNs, admin VPNs, service VPN en dergelijke over? Dat is iets heel anders dan deprecated, dat zou zeggen dat de technologie aan het einde van zijn leven is, maar het is meer dat jan met de pet het misschien niet meer nodig heeft. En dat is dan hoofdzakelijk omdat er technologie specifieke oplossingen zijn. Ik denk dat jij ook wel weet dat er veel meer verkeer is dan mail en RDP.
Het ging hier over P2S verbindingen S2S verbindingen zullen voorlopig wel blijven, zolang we niet over zijn op IPv6.
Ook met IPv6 blijf je nog wel S2S hebben denk ik zo, versleutelen moet je toch.

En P2S heb je ook nog steeds hoor, vooral in de vorm van VPN's naar bijvoorbeeld je cluster (ergens in een DC of cloud) networks en dingen zoals dat. Een propere VPN werkt toch net even iets fijner dan de gemiddelde SSH bastion host. Of gewoon puur om bij intranet sites te komen.
Met IPv6 maak je gebruik van bijvoorbeeld IPSec, maar niet van een VPN. Een intranet benader je niet via een VPN, omdat je daarmee feitelijk toegang geeft tot een stukje intern netwerk.
Als je van buiten het netwerk bij een intranet wil komen moet dat toch echt over een VPN of bastion host. Daarbij is IPSec ook gewoon een tunnel, dus dat is stiekem dan toch ook wel een VPN verbinding.
Dit is toch wel echt jouw mening !!! Vpn is here to stay en nog een hele tijd ook. Misschien als je mag starten met een greenfield dat je dingen op een bepaalde manier kan inrichten maar daar stopt het dan ook.
Waar lees jij dan dat dit een verkapte push naar Windows 10 is? Ze zijn naar mijn idee juist heel meegaand door fixes beschikbaar te stellen als je het mij vraagt.

En ja, het is gewoon heel onverstandig om een OS te blijven gebruiken welke niet langer gesupport wordt en waar known vulnerabilities van zijn. Dat is gewoon vragen om ellende..
In Windows 10 zitten natuurlijk ook vulnerabilities, doordat er nieuwe functies bij zijn gekomen wellicht zelfs nog wel meer, maar die zijn nog niet ontdekt.

Een verkapte push vind ik ook wat te ver gaan, maar Windows 7 en Windows Server 2008+ worden nog '' gewoon '' ondersteund d.m.v. beveiligingsupdates en die zouden in theorie dus net zo veilig moeten zijn als Windows 10.
Echter, in dit geval is Windows 10 sowieso niet vatbaar voor Wannacry en hoeft de eindgebruiker niets te doen , in tegenstelling tot Windows 7 / Server 2008 waarbij de gebruiker/beheerder deze update wel moet laten installeren.
Microsoft zegt dus dat je moet upgraden naar Windows 10, maar een correcter advies in dit specifieke geval zou zijn om naar Windows 10 te upgraden óf de update te installeren.
Windows 7 en 2008 R2 support is natuurlijk ook al bijna eindig. Verstadig om te upgraden is het sowieso.

En ja tuurlijk heeft Windows 10 ook vulnerabilities, alleen het verschil is dat die nog volop in de support zit.

Maar persoonlijk interpreteer ik de boodschap van Microsoft enkel als advies om de beschikbaar gemaakte update te installeren.
Niet als het fundament waarop die firewall staat zo rot als een mispel is.

Je firewall voorkomt een hoop maar als de stack protocollen al lek is, vergeet het dan maar....

[Reactie gewijzigd door DigitalExorcist op 1 juni 2019 11:41]

Als jou firewall het verkeer naar een bepaalde poort blokkeert, maakt het geen donder uit of het protocol dat er draait kwetsbaar is. Neemt overigens niet weg dat "een goede firewall en virusscanner" geen vervanging is voor beveiligingsupdates.
Als je IP stack aan de basis verrot is maakt dat álles uit, ook voor je firewall ;)

Gaat niet zozeer om wat er áchter de firewall zit, maar dat je firewall zélf niet goed functioneert/kwetsbaar is.

[Reactie gewijzigd door DigitalExorcist op 1 juni 2019 12:07]

Voor zover ik weet zitten de lekken waar het hier om draait allemaal niet in de IP stack. ALS je IP stack verrot is heeft een firewall inderdaad niet zoveel zin. Dat is momenteel, voor zover bekend, echter fictief. Een kwetsbaarheid in RDP ga je zeker wel tegen houden met een firewall.
De kernel van XP is nou eenmaal niet geweldig meer...
Volgens mij heeft MS nog klanten die betalen voor updates voor o.a. XP.

Dus nee, ze maken alleen een uitzondering, door het aan iedereen te bieden. Maar wel mooi, dat ze het vrij. geven voor iedereen die er niet voor betaald :)
Toch is dat een verkeerd signaal. Daarmee wekt Microsoft de indruk dat men dus tóch nog XP kan gebruiken, want "het ontvangt blijkbaar nog steeds updates bij kritische veiligheidsissues".
Dat kan ik begrijpen, wel mooi dat Microsoft zo aanpakt
Zo ernstig lijkt het me toch niet. Er is een simpele fix: RDP uit zetten.
Een coulancegebaar dus.
Waarschijnlijk met grote tegenzin. Maar het nieuwsbericht "6 miljoen Windows computers geïnfecteerd met virus" is zo slecht voor hun imago dat ze wel zullen moeten.
Imago is inderdaad belangrijk, 6 miljoen is niet niets.
Windows XP uit 2001 bedoel je.
2001.
Je hebt denk ik een typ fout gemaakt.

En gezien de ernst van de zaak (veel overheidscomputers) een hele goede zaak van Microsoft.
Het gaat specifiek om Windows XP en Windows 7, en om Windows Server 2003, 2008, en 2008 R2. Het modernere Windows 8 en Windows 10 blijven buiten schot.
Het betreft ook Vista, die waarschijnlijk dezelfde update krijgt als Server 2008 omdat het onderhuids dezelfde versie betreft.
Het ontdekte lek zit in de Remote Desktop Services. Gebruikers bij wie de dienst aanstaat en openstaat voor het web, zijn kwetsbaar.
Als mitigatie kan server-side vanaf Vista/Server 2008 ook Network Level Authentication ingeschakeld worden. Dan moet op netwerkniveau eerst authenticatie plaatsvinden voordat een RDP sessie wordt geopend. Dit verkleint het aanvalsoppervlak aanzienlijk, en voorkomt misbruik van deze kwetsbaarheid. Enkel een al ingelogde gebruiker zou dan kunnen proberen om deze kwetsbaarheid te misbruiken (bijvoorbeeld voor privilege escalation).

Tenzij je één of andere oude obscure authenticatiemethode gebruikt is er geen excuus om NLA niet in te schakelen. Clients vanaf XP/Server 2003 ondersteunen het sinds Service Pack 3, en ook open-source clients ondersteunen het zonder problemen.

[Reactie gewijzigd door The Zep Man op 1 juni 2019 11:04]

Geen excuus? Kan je wachtwoord niet wijzigen met NLA als het verlopen is. Voor genoeg mensen reden om het uit te zetten.
Kan je wachtwoord niet wijzigen met NLA als het verlopen is.
Moderne richtlijnen geven aan dat men moet stoppen met het lastig vallen van gebruikers om periodiek hun wachtwoorden te veranderen.
NIST 800-63-3: Digital Identity Guidelines has made some long overdue changes when it comes to recommendations for user password management. The new framework recommends, among other things:

Remove periodic password change requirements
This is one that legions of corporate employees forced to create a new password every month will surely be happy about. There have been multiple studies that have shown requiring frequent password changes to actually be counterproductive to good password security, but the industry has doggedly held on to the practice. Hopefully, these new recommendations will change that.
Bron.

Dus ook dat is geen excuus meer. Naast programmatuur moet beleid ook meegaan met de tijd.

In een met NLA ingelogde sessie kan een gebruiker nog steeds vrijwillig diens wachtwoord wijzigen.

[Reactie gewijzigd door The Zep Man op 1 juni 2019 11:55]

Is het daar in Utopia ook zo zonnig?

Er is niks moet aan een richtlijn. Geldend bedrijfsbeleid is geldend bedrijfsbeleid. Ms dat het uiteindelijk verandert maar de meeste tandwieltjes zijn traag.
Ms dat het uiteindelijk verandert maar de meeste tandwieltjes zijn traag.
Net als het implementeren van doorgaans goed ondersteunde besturingssystemen in plaats van oude meuk. Ook dat gaat traag.

Een bedrijf dat hier tegenaan loopt is een dinosaurus. Ga mee met de tijd of sterf uit.
Meestal is het om de 180 of 365 dagen.

Voor veel bedrijven is het onderdeel van aanzienlijke dure (zowel in tijd als geld) certificerings trajecten die ze hebben, bijv. van ISO en dat wijzigt dus niet snel, niet in de laatste plaats omdat ze die trajecten niet constant willen doorlopen.
Zo zie je maar weer dat bedrijfsbeleid ook maar door debielen wordt bedacht. Letterlijk iedereen had kunnen bedenken dat als je gebruikers maandelijks hun wachtwoord verplicht laat wijzigen, dat deze gebruikers daar dan een systeem voor gaan bedenken. Kijk naar jezelf: hoe vaak verzin jij een compleet nieuw, volledig random password? (en hoe vaak onthoud je dat dan ook echt) En een systeem betekent minder complexe en dus makkelijker te raden passwords.

Helaas praat iedereen elkaar maar wat graag na, met als gevolg dat je nu bij nagenoeg alle bedrijven verplicht je wachtwoord elke maand moet veranderen. Vervelend voor de gebruiker en slecht voor het bedrijf, want veel meer calls naar de helpdesk en minder goede beveiliging.

En deze slechtere beveiliging werkt waarschijnlijk tot in de eeuwigheid door, want gebruikers zijn nu gewend aan het systeem dat ze hebben bedacht voor hun wachtwoord, dus zelfs als het niet meer elke maand gewijzigd hoeft te worden zullen ze hieraan vasthouden en houd je dus makkelijker te raden passwords... 8)7

En nee, allerlei verplichte flauwe regels om een complex wachtwoord af te dwingen (leestekens, hoofdletters etc) helpen je hier helemaal niks: ook daar wordt weer een systeem voor bedacht. Uiteindelijk blijven het gewoon mensen die een password moeten onthouden.
En nee, allerlei verplichte flauwe regels om een complex wachtwoord af te dwingen (leestekens, hoofdletters etc) helpen je hier helemaal niks: ook daar wordt weer een systeem voor bedacht. Uiteindelijk blijven het gewoon mensen die een password moeten onthouden.
Die hoefde niet in SUB te worden geschreven. Al die regels zijn helemaal te gek en geënt op veiligheid natuurlijk maar wat doen de mensen op kantoor? Juist, "November01!", "December02!" en ga zo maar door.

En het wordt helemaal interessant wanneer je een wachtwoord moet opgeven dat niet lijkt op het vorige wachtwoord maar wel 8 karakters lang, ten minste één speciaal teken en hoofdletter bevat. Bij ons loopt het wijzigen van wachtwoorden redelijk gelijk bij iedereen en ééns per 3 maanden moet je deze wijzigen. Drie keer raden wanneer de meeste tickets worden aangemaakt omdat mensen hun account hebben geblokkeerd? :P

Mensen gaan systemen hanteren om het voor zichzelf makkelijker te maken wat logisch is. Hoe meer regels je aan het maken van een wachtwoord verbindt hoe groter het risico dat er een manier wordt bedacht om het toch heel simpel te maken. En dat levert uiteindelijk weer te makkelijke wachtwoorden op.

Wachtwoordbeleid, het blijft een lastig fenomeen. :+
sorry dat ik hier even offtopic op inhaak maar ik vind het iets te kort door de bocht van die 'moderne richtlijnen' om te stellen dat periodiek wijzigen eigenlijk niet werkt.
Inderdaad, mensen gaan makkelijke wachtwoorden kiezen, maar er is een middenweg.
Als je namelijk lange tijd je wachtwoord NIET wijzigt is de kans aanwezig dat je gepwned wordt middels een of andere hack uit een of andere oude database et voila je wachtwoord is nog steeds hetzelfde. Had je periodiek je wachtwoord gewijzigd (in wat dan ook) dan heb je direct al de eenvoudige login onmogelijk gemaakt omdat het wachtwoord niet meer hetzelde is als een half jaar geleden.
Derhalve vind ik het wat te gemakkelijk van die moderne richtlijnen om te stellen dat het niet werkt. Klopt, het werkt contraproductief, maar het heeft wel degelijk nut om regelmatig je wachtwoord te wijzigen.
Als je namelijk lange tijd je wachtwoord NIET wijzigt is de kans aanwezig dat je gepwned wordt middels een of andere hack uit een of andere oude database et voila je wachtwoord is nog steeds hetzelfde. Had je periodiek je wachtwoord gewijzigd (in wat dan ook) dan heb je direct al de eenvoudige login onmogelijk gemaakt omdat het wachtwoord niet meer hetzelde is als een half jaar geleden.
Je moet ook andere adviezen overnemen. Gebruik voor elke dienst een uniek wachtwoord. Om het gebruikers makkelijk te maken, gebruik een wachtwoordmanager.

Het is keer op keer aangetoond dat de gebruiker meer lastigvallen geen oplossing biedt. Ga spaarzaam om met de tijd van de gebruiker, en maak beveiliging juist makkelijker in plaats van moeilijker. Dan hoeft de gebruiker ook niet meer om beveiligingen heen te werken.
Sterker nog, je kunt vrijwel alle Server 2008 updates installeren op Vista, vreemd dat Microsoft Vista ook niet in het lijstje van kwetsbaar heeft toegevoegd.
Je zou bijna denken dat je Windows 7/XP machines maar moet up/downgraden naar Vista om niet meer kwetsbaar te zijn haha.
Het betreft ook Vista, die waarschijnlijk dezelfde update krijgt als Server 2008 omdat het onderhuids dezelfde versie betreft
Windows Vista is al 2 jaar end of life volgens wikipedia. Dus dat is waarschijnlijk de reden dat die niet genoemd word.
Dan hadden ze XP ook niet genoemd. Die is ook al tijden EOL.
Maar die is wel pas later EOL gegaan en daarbij zijn er ook nog bedrijven die nu nog extended support hebben lopen.
Dat klopt niet. XP is uit extended support gegaan in april 2014. Vista in april 2017. 3 jaar later.
nou, xp wordt nu nog steeds op relatief grote schaal gebruikt, terwijl vista eigenlijk nooit gebruikt is; ook niet toen het 't mainstream OS was
XP is er ook een behoorlijke tijd geweest, voordat Vista het stokje overnam.

Maar mensen blijven nou eenmaal hangen op het OS geleverd met de pc.

[Reactie gewijzigd door mr_evil08 op 1 juni 2019 16:17]

"Eerder deze maand..." :*) Da's knap.

Denk dat ms hier wel genoeg moeite erin gestoken heeft overigens. Als men het nu nog niet door heeft dat de gevolgen een stuk erger kunnen worden dan de kosten van hun volledig afgeschreven oude spul updaten of nog beter, vervangen, dan hebben ze die narigheid verdiend.
Probleem is alleen dat men dan alsnog Microsoft de schuld geeft.
En van hieruit is het relatief agressieve updatesysteem dat met Windows 10 de kop op stak ook goed te begrijpen, me dunkt.
Agressief? Grotendeels gratis en zelfs nu werkt de gratis upgrade van Windows 7 naar 10 nog steeds. Hoezo agressief?
Relatief agressief in de zin van 'je mag maximaal 35 dagen wachten met updates'.
En dit is dan ook al de 2e keer dat ze dit onder de aandacht brengen. Eerder deze maand toen de update werd gereleased hebben ze hier ook uitgebreid aandacht aan geschonken. Dit is dus alleen even een extra reminder om aan te geven hoe belangrijk die update is.
Kwestie van RDP service uitzetten dus?
Windows xp e.d. wordt juist nog gebruikt op oude meetopstellingen ivm custom software en drivers (anders zouden ze net zo goed kunnen upgraden). Die systemen worden vaak via rdp op afstand beheerd.

[Reactie gewijzigd door MeMoRy op 1 juni 2019 12:10]

En toch ben je een volledige pannekoek als je rdp naar buiten open zet.

Dat is geen bashing op windows, ik zet ook geen ssh open van een oude router uit 2004 met een gedateerde ssh implementatie...

Die oude xp machines die je persee nodig hebt voor antieke drivers (specifieke hardware zoals printers, pcl's of vage controllertjes van alles en nog wat) heb je ook meestal in het pand staan waar je het beheert. Als je er al met RDP bij moet, doe het dan netjes via een VPN. Of, als het een VM is via de console. Of installeer gewoon een oudere (maar veilige) versie van teamviewer, of iets dergelijks..

Of beter; hang het apparaat niet aan het internet/netwerk, en geef het een klassieke toestenbord en muis, en de enkel keer dat je er wat mee moet hang een usbstick in t apparaat. (of een netwerkloze vm en verbind een virtuele cd als je er wat mee moet)
Het lijkt me toch ook dat je als bedrijf gewoon je apparatuur afschrijft ?
Hoeveel miljoen illegale versies van Windows 7 en XP zijn er eigenlijk in omloop die niet meer geupdate kunnen worden?
Waarom zou 7 niet meer geupdate kunnen worden?

Verder wordt in dit geval zelfs nog een update voor XP aangeboden.
Wij zijn een IT verlener voor Cargolux, en die gebruikt nog volop Windows 7 en het testen van WIN10 gaat erg traag.

Veel apps zijn voor Windows 7 ontworpen waardoor het binnen het bedrijf erg moeilijk is om te switchen. Enige wat vordert is het MS: Azure binnen het bedrijf. Daar worden de apps tegenwoordig op gedraaid.
hoe weet ik of ik de juiste update heb geïnstalleerd die dit probleem oplost? heb gisteren 2 optionele updates gedaan op windows 7 van 340mb groot. weet niet of dat per update was of alle twee. ik had updates gezocht maar alleen die optionele kwamen. de rest is up to date (ga ik vanuit)
Updaten en je systeem daarmee basale veiligheid geven is helaas geen prioriteit voor vele mensen en bedrijven...
Ik had 1 keer een Wannacry gehad op mijn Windows 7. Veilige modus (eerder commandprompt omgeving) en Temporary Internet Files + Temp mappen allemaal leeg gehaald. (Je kent dat wel het del commando)
Via commandprompt backup genomen van de Users map (Gebruikers) en van hier en daar nog wat dingen. Deze allemaal verplaatst naar de backup hardeschijf (F:\) die los staat van Windows (C:\)
Daarna opgestart samen met de Windows 7 DVD en Windows herstellen gekozen. Uiteindelijk werkte Windows 7 maar draaide het niet echt soepel meer. Dan maar een herinstallatie gedaan.

Ik begrijp dat Microsoft wilt dat mensen Windows 10 gebruiken omdat ze geen upgrade of support meer geven aan Windows XP en Windows 7. Het is nog altijd de gebruiker die bepaald wat hij met zijn computer doet. (Windows is eigenlijk software met uitgebreide mogelijkheden, bv opstarten van het OS)
1. Windows is het OS
2. Maak jij maar uit wat he draait. Als dat windows XP is, maak je ook zelf uit dat je kwetsbaar bent.
3. Enbdat upgraden naar een modern OS is toch niet een slecht idee?
4. En in Dit geval wil MS alleen maar dat je de update uitvoert. Niet het slijten van Windows 10.
1. Ja met lekken en gaten. Perfectie bestaat spijtig genoeg niet
2. Ik installeer enkel nuttige software die vertrouwelijk zijn. Ik ga geen porno kijken en op alle advertenties klikken en dan klagen dat mijn pc geinfecteert is geraakt. Ik weet wat ik installeer en ik vertrouw de software dat ik installeer. Winrar, Office, Steam, Total Commander, Firefox,... zijn allemaal safe
3. Wie zegt dat ik upgraden afkeur? Ik heb Win7 geupgrade naar Win10 en heb het me nog geen seconde beklaagt
4. MS wilt zo veel. Windows 10 slijt niet :)
De eindgebruiker is dom, en denkt niet aan een Wannacry virus totdat het er is. En dan pas actie gaan ondernemen.

Waarom denk je dat bedrijven de dupe vaak zijn? Omdat de medewerkers geen hol weten betreft virussen. En wanneer het er is binnen een bedrijf die het kan dokken. Of de grote deel van de infra moet aanpassen.

Daarnaast jouw uitleg gaat over een lokale netwerk "machine". Bij een bedrijf zit je vaak in een forest. Dus het dringt door tot het interne netwerk.

[Reactie gewijzigd door theduke1989 op 2 juni 2019 01:10]

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Games

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True