Overzicht van veiligheidsmaatregelen in Windows XP SP2

Softwarereus Microsoft heeft een lijst gepubliceerd met de veiligsheidsmaatregelen die het tweede service pack voor Windows XP zal omvatten. De maatregelen zijn relatief uitgebreid en omvatten bescherming van het netwerk en het geheugen, veiliger e-mailverkeer en veiliger surfen. De eerste groep houdt een betere bescherming tegen netwerkaanvallen zoals Blaster in, onder andere door de beveiling rond RPC te verscherpen en de interne firewall standaard in te schakelen. Om te voorkomen dat gebruikers in de problemen komen door de firewall wordt deze zowel qua gebruiksinterface als qua compatibiliteit bijgeschaafd. Bescherming van het geheugen - de eerder besproken NX-technologie - omvat maatregelen tegen kwaadaardige software die zogenaamde buffer overruns veroorzaakt. Om het e-mailen veiliger te maken worden de standaard instellingen van Outlook Express strenger gemaakt en worden attachments strenger bekeken. Ook de standaard instellingen van Internet Explorer zullen strenger zijn. Mocht de gebruiker daar verandering in willen brengen, dan is het de bedoeling dat hij door een verbeterde interface voor de beveiligsopties niet per ongeluk meer open zet dan hij wil. De volledige lijst is hier te vinden.

Reacties (65)

Verwijderd 16 november 2003 15:38

Het lijkt er op dat Microsoft nu eindelijk security een heel klein beetje serieuzer gaat nemen!

SP2 biedt zeker een aantal verbeteringen, maar de meeste zaken zijn toch afhankelijk van hoe je de boel configureerd. Gelukkig zetten ze nu meer dingen standaard dicht. Helaas verwacht ik wel dat menig systeem beheerder de boel weer open gaat zetten om zijn server werkend te houden of gewoon sp2 niet installeerd omdat dan de huidige applicaties dan niet meer werken.

De grote inhaalslag moet nog gemaakt worden bij de windows programmatuur en developers. Immers zij zijn het die er voor moeten zorgen dat de security mogelijkheden van sp2 benut kunnen worden. Doen zij dit niet dan heb je er ook geen voordeel van.

Ik hoop dat dit het eerste stapje is op een nog hele lange weg naar een echt veilig windows systeem want microsoft is er nog lang niet. Ik wacht met smart op de dag dat alle OS modules aparte users kunnen krijgen met eigen rechten zoals bij Unix. Pas dan is het mogelijk om een echt veilig systeem te maken.

Internet explorer blijft een heel zwak punt. Voor windows update moet je je security op low zetten, moet je activeX controls toe staan wat de veiligheid niet bevorderd. Geen gebruik maken van windowsupdate is ook geen optie. Security wise moet je een webbrowser geheel appart houden van je core systeem. Microsoft maakt het zichzelf erg moeilijk door IE onderdeel van het OS te maken en tergelijkertijd een full feauture webbrowser te zijn.

IE en de verandwoordelijkheid van de developers / systeembeheerers blijft de achilishiel van Windows.

Gody @Verwijderd • 16 november 2003 15:50

Even lekker bijdehand doen: Security hoeft voor Windows Update niet op low. En ActiveX kun je gewoon laten vragen.

Verder zijn windows en linux anders. ze benaderen veiligheid op een andere manier. Dat unix volgens jou flexibeler is kan, maar maakt windows niet slechter denk ik... En tuurlijk hangt alles af van hoe je dingen configged. maaruh, linux clean-install is ook niet waterdicht...

SED @Verwijderd • 17 november 2003 01:05

Er zijn geen servers die op XP draaien, dus als je niet weet waar je over spreekt is het een beetje zinloos om bij voorbaat systeembeheerders te beschuldigen van dom gedrag.

Voor windows 2003 komt binnenkort SP1 uit en dat bevat een nieuwe beveiligingsmodule die veel nodeloze services uitschakelen kan. Na goedkeuring van de systeembeheerder met advies van MS.

Belial_666 16 november 2003 15:25

Windows XP is nu zo'n 1.5 Gb. Veel programma's zijn zo met elkaar verweven dat het ene programma n niet meer zonder het andere kan.

Outlook heeft IE nodig.
De Shell heeft IE nodig.
Shell heeft Mediaplayer nodig.
Autocad 2004 moet IE 6.0 gebruiken (waarom in vredesnaam

)

Kortom. Als ook maar in een heel klein deel een bug of foutje zit dondert het hele kaartenhuis in elkaar omdat alles van alles afhankelijk is.

Interesante stelling op Linuxtoday.com over Linux op de desktop en de veiligheid van Windows.

If you look at the pace of development over the past few years, you will see that Microsoft will not be able to keep up.They are waking up too late to the fact that security matters. Unfortunately I think they will find that their product is too badly broken for them to fix it in time to defeat the competitive threat posed by a secure OS.

Kurgan @Belial_666 • 16 november 2003 16:04

Tsja, aan de ene kant heb je wel gelijk: een ketting is net zo sterk als de zwakste schakel. Aan de andere kant: een goed gebouwde muur is sterker dan een hoopje losse stenen. Als programma's uit het oogpunt van security niet op elkaar aansluiten, dan kan een exploit in het ene programma misschien toegang geven tot een ander programma. Er valt dus ook wat te zeggen voor integratie.

En tot slot: een linuxforum lijkt me ook niet echt een onpartijdige informatiebron, netzomin als een Microsoft-woordvoerder. De praktijk zal moeten uitwijzen wie er gelijk heeft.

Anoniem: 81028 @Kurgan • 16 november 2003 17:06

Ach, Linux heeft z'n "dependencies" dus zo verschillend is het niet.

Q-collective

@Anoniem: 81028 • 16 november 2003 20:41

Ga nou niet appels met peren vergelijken he

Dependencies onder Linux zijn vaak bibliotheken zoals gtk of glibc ofzo...
In Windows is dat anders, daar worden programma's afhankelijk gesteld van andere programma's, en als die niet goed werken, of er zit een bug in of zo, dan kunnen de programma's die van hun afhankelijk zijn ook niet goed hun werk doen...
En zeg nou zelf, fouten halen uit een bibliotheek is toch wel iets makkelijker en sneller gedaan dan fouten halen uit volledige programma's he?

Verwijderd @Anoniem: 81028 • 17 november 2003 16:10

En zeg nou zelf, fouten halen uit een bibliotheek is toch wel iets makkelijker en sneller gedaan dan fouten halen uit volledige programma's he?

Wat een onzin. De programma's zelf maken vaak gebruik van dezelfde libraries, en als het programma een fout bevat moet je net zo hard zoeken waar die fout precies zit, misschien wel gewoon in de library.

En wat denk je dat IE is? Dat's voornamelijk een stel libraries hoor, een parser, een renderer.... IE is slechts een schil om die libraries heen. Start maar eens programma op dat afhankelijk van "IE". Zie jij een proces opstarten dat "iexplore.exe" heet? Nou, ik niet. Zij zijn dus helemaal niet afhankelijk van het programma, slechts van de libraries, en dat verschilt niet zo heel veel van alle normale dependencies, ook onder Un*x. Als er een buffer overflow in glibc zou zitten zou de halve unix wereld ook ineens een security probleem hebben.

jurri@n @Belial_666 • 16 november 2003 16:14

Afgelopen week heb ik het kaartenhuis-effect zelf ondervonden... schakel de RPC-service eens volledig uit... dan krijg je 'm na een reboot dus niet meer aan, omdat daar de RPC-service voor nodig is... en veel andere zaken werken ook meteen niet meer...

atomik @jurri@n • 16 november 2003 17:00

Sorry hoor, maar dat is ook een beetje dom.
Inderdaad praktisch alle andere zaken in Windows afhankelijk zijn van die RPC service.

Dan ben je óf niet slim bezig door een service te disablen waarvan je niet eens weet wat ie doet, óf je weet wel wat ie doet en denkt, kom, laat ik eens kijken wat er gebeurt als ik hem uitzet.

(Wat op zich nog veel stommer is, dat is eigenlijk net zoiets als weten dat die steunmuren in je huis de bovenliggende woonlagen dragen, maar toch eens kijken wat er gebeurt als je ze er allemaal uitsloopt)

Btw, meer info over die rpc-service op: http://www.blackviper.com/WinXP/service411.htm#Remote_Procedure_Call_(RPC)

MacD @jurri@n • 16 november 2003 23:55

Euh...en door booten met de recovery console kan je dit niet oplossen?

Verwijderd @Belial_666 • 16 november 2003 16:07

Nee, onder Linux is dat heel wat beter....

Alleen jammer van die dependancies, het ene programma heeft die en die library nodig, die library heeft weer een andere library nodig en om die te installeren heb je bijvoorbeeld libpth.so.12 nodig en de oudste versie die je kan vinden van libpth.so.12 is libpth.so.13. En die pakt ie natuurlijk niet

Het is gewoon altijd zo bij software, de enigste manier waarop je dat niet zou hebben is als je zelf alles opbouwd vanaf de grond af. Dan moet je bijvoorbeeld booten van een flop of cdrom die dan je bios functies overschrijft (want daar kan je natuurlijk ook niet op vertrouwen) en dan zelf alle hardware gaan aansturen. Dan zelf een OS bouwen zodat je jouw geweldige notepad replacement tool kan bouwen.

It sucks, but that's life

Q-collective

@Verwijderd • 16 november 2003 20:44

Tja, ik vraag me ook af waarom de benodigde libraries niet standaard meegeleverd worden in modulaire rpm's of in aparte stukken van de tar.gz.... zou dingen idd stukken makkelijker maken...

dasiro @Belial_666 • 16 november 2003 17:46

They are waking up too late to the fact that security matters. Unfortunately I think they will find that their product is too badly broken for them to fix it in time to defeat the competitive threat posed by a secure OS.

looolz, wat hij zegt komt erop neer dat MS heeft zitten lanterfanten en vindt dat hun product eigelijk te brak is om nog te fixen vooraleer linux de wereld van de OS'en gaat beheersen.

Over wereldvreemd gesproken, alsof linux plots een marktaandeel van 46% gaat afnemen van windows vooraleer ze hun security deftig op poten hebben (althans dat beweert hij).

Verwijderd @Belial_666 • 17 november 2003 08:11

Hahaha, grappig. Maarre, zonder gekheid, wanneer wordt Linux nou eens gebruiksvriendelijk? Voordat dat gebeurt, vormt Linux geen enkele bedreiging voor Microsoft en Apple op de desktopmarkt...
Ohja, en met gebruiksvriendelijkheid bedoel ik natuurlijk niet dat er een leuke eye-candy schil omheen zit, dat kan Gnome goed genoeg. Maar zoals hier eerder al gezegd de dependencies, maar veel belangrijker nog: het OS management. Linux is geschreven voor mensen met een total control filosofie. Leuk, maar dat werkt niet voor de "My First..." gebruiker. En laat dat nou net 90% van de markt zijn...

Superstudent 16 november 2003 15:52

Dit is weer een ontzettende vooruitgang voor de helpdeskmedewerkers NOT!
Krijgen we zometeen weer 100den klanten die geen attachments kunnen openen, waar door de firewall hun applicaties niet meer willen werken en internet pagina's niet meer goed op het scherm verschijnen

.
Dit is echt slecht. Laat MS nou gewoon de fouten uit outlook en IE halen ipv er een optie in te bouwen die attachments verbied te openen. Dit is zo slap, ze pakken het probleem niet bij de bron aan, maar ze verzinnen allemaal lapmiddelen...
Die NX technologie is nog het enige positieve vind ik.

afterburn @Superstudent • 16 november 2003 20:41

Wbt die attachments/worms enz zit de fout niet in IE of Outlook (Express), maar in de attachments. Eigenlijk ook niet in de attachments; de grootste fout bevind zich tussen de monitor en de rugleuning van de stoel die er voor staat. De gebruiker dus. En als de gebruiker te stom is om op een verantwoordelijke manier met attachments om te gaan of een goede (en geupdate) virusscanner te gebruiken, dan kan je als fabrikant maar 2 dingen doen: of je zegt dat user-errors jou pakkie aan niet zijn, of je beschermt die gebruiker tegen zichzelf. En aangezien 90% van die gebruikers eigenlijk te stom is om een computer te mogen hebben, en dat die stommiteit (onterecht) het image van het bedrijf aantast, vind ik het volkomen terecht dat ze kiezen voor de laatste optie. Helaas houdt dat ook in dat de 10% die wel weet waar ze mee bezig zijn weer een hoop truuken uit de doos moet halen om eea weer zo werkend te krijgen als ze zelf willen. Maar persoonlijk zie ik dat meer als een uitdaging en een leerprocess waar ik een hoop anderen mee kan helpen dan iets om moord en brand over te schreeuwen. Maargoed, MS kan het toch nooit goed doen. Als ze niks doen is het niet goed want dan hebben ze geen oog voor beveiliging. En als ze wel wat doen is het niet goed, want dan beperken ze de mogelijkheden van de consument.

Anoniem: 79837 @afterburn • 18 november 2003 15:46

of je zegt dat user-errors jou pakkie aan niet zijn

user error: Replace User?????

Verwijderd @afterburn • 17 november 2003 12:24

[flame]
Het verhaaltje over de domme gebruiker hebben we nou wel gehad, en als jij als elitaire zak gaat bepalen dat sommige mensen te dom zijn om willekeurig iets te mogen gebruiken vind ik jou die twee cent die het je gekost heeft om de post te doen niet waard.
Wat mij betreft doen alleen sukkels zulke uitspraken.
[/flame]

edit:
Even gekeken, maar hij wordt ook nog als inzichtvol gemodereerd, wat mij erg doet twijfelen aan de eigen intelligentie van mijn mede-tweakers. Is het inzichtvol om 90% van de bevolking voor "stom" uit te maken? Tsjonge, de jaren 90 zijn echt aan me voorbij gegaan...

Verwijderd @Superstudent • 16 november 2003 15:57

idd, ik hoop ook dat wanneer je SP2 gaat installeren er een check inzit of je pc in een (AD) domein hangt of niet.
Stel dat je pc wel in een (AD) domein hangt lijkt het me handig om die nieuwe opties niet allemaal aan te zetten, maar dat er daarvoor een policy word meegeleverd voor de IT guys zodat zij kunnen bepalen of bijv. de firewall wel/niet aanstaat.
Hangt je PC niet in een (AD) domein dan lijkt het me juist weer wel handig om al die opties aan te zetten, omdat je er dan vanuit mag gaan dat je pc thuis staat ipv in een kantoor omgeving. En thuis is men vaak minder goed beschermd dan in een kantoor omgeving.

-=scred=- @Verwijderd • 16 november 2003 20:05

Hangt je PC niet in een (AD) domein dan lijkt het me juist weer wel handig om al die opties aan te zetten, omdat je er dan vanuit mag gaan dat je pc thuis staat ipv in een kantoor omgeving. En thuis is men vaak minder goed beschermd dan in een kantoor omgeving.

Leuk, en als je een Novell- of een SaMBa-netwerk hebt?
Krijg je weer al die zooi over je netwerk heen.

Luno @Superstudent • 16 november 2003 17:36

Tja, maar dat hadden ze kunnen doen vanaf de introductie van intel386 (misschien zelfs bij de 286).
Bij de intelprocessoren konden registers bij houden in wat de ondergrens/bovengrens was van een geheugen segment. Kon er onderscheid gemaakt worden tussen een datasegment en executabel segment. De segmentering van de Intel was lastiger dan de Motorola, maar daardoor zou een OS de boel beter kunnen beveiligen.
Alleen MS heeft daar niet veel gebruik van gemaakt, en als ze het nu pas gaan doen heb je weer te maken met allerlei programma's die ondertussen hiervan gebruik hebben gemaakt.

MS had vanaf het begin dit moeten doen, evenals het verbieden dat applicaties DLL's is system(32) moeten/konden plaatsen.

Door nu pas de regels scherper te maken krijgen we dadelijk weer een hoop programma's die het niet meer doen. De situatie nu is al te zot, om (nog niet zo oude) spelletjes (ook van M$oft) te kunnen draaien, moeten kinderen admin rechten hebben op XP.

Desalniettemin beter laat dan nooit.

CU Luno

opagrover @Luno • 17 november 2003 17:31

De situatie nu is al te zot, om (nog niet zo oude) spelletjes (ook van M$oft) te kunnen draaien, moeten kinderen admin rechten hebben op XP.

In menig huis kunnen de koters beter met de computer omgaan dan de ouders. Ik vind het erg gevaarlijk om al die volwassenen die niet met computers om kunnen gaan admin rechten te geven. Over die koters maak ik me niet zo'n zorgen

Anoniem: 72124 16 november 2003 15:48

de interne firewall standaard in te schakelen

Op zich is het wel verstanding van microsoft om de ingebouwde firewall aan te zetten. Want hoeveel mensen doen nou nog steeds zonder firewall surfen...

Echter ik, en ik denk nog veel andere mensen, zitten hier niet op te wachten. Het is namelijk zo dat de interne firewall van windows namelijk conflicten geeft met de firewalls van derden (norton, mcafee etc..). Je moet het maar net niet weten en dan ben je jezelf lang aan het afvragen waardoor niemand meer naar jouw kan verbinden.

Persoonlijk vind ik het meer eigen verantwoording of je een firewall draait of niet. Net als het gebruik van ActiveX-applets, java etc... Als je deze namelijk standaard veel strenger gaat instellen, zullen veel sites het waarschijnlijk niet meer doen...

Pietervs @Anoniem: 72124 • 16 november 2003 16:24

Het is namelijk zo dat de interne firewall van windows namelijk conflicten geeft met de firewalls van derden (norton, mcafee etc..).
Die mensen hebben de Firewall van XP inderdaad niet nodig. Maar aangezien de aantallen mensen die niet eens weten wat een firewall is, (laat staan weten waar ze het aan kunnen zetten) nog altijd vele malen groter is dan de aantallen mensen die WEL weten wat een firewall is, vind ik het een goede zaak dat Microsoft dit nu afdwingt.

Nu nog afdwingen dat je internet-verbinding het niet doet als je geen virusscanner (of een virusscanner ouder dan 3 maanden) op je PC hebt...

Gaius @Pietervs • 16 november 2003 17:35

Nu nog afdwingen dat je internet-verbinding het niet doet als je geen virusscanner (of een virusscanner ouder dan 3 maanden) op je PC hebt...

Woei, virusscanner gekocht, waarvan de virusdefinities out-of-the-box al meer dan 3 maanden oud zijn, even updaten via het internet dan maar...

dotnetpower 16 november 2003 17:51

Opzich wel goed van hun dat ze standaard de firewall aanzetten, maar welke huis- tuin en keuken gebruiker update ze'n computer nou ? Zie maar aan het worm32.blaster virus, wij kregen een stuk of 30 a 40 pc's binnen, terwijl dit had kunnen worden voorkomen als men de patch van die maand daarvoren had geinstalleerd.

Anoniem: 86327 @dotnetpower • 16 november 2003 18:17

ahum... als jij als klanten 40 newbjes hebt die alleen maar kunnen downloaden met hun PC en verder niks, dan moet je de schuld niet op Microsoft afschuiven... Het is idd wel stom van Microsoft, maar jij had je klanten ook voorlichting kunnen geven!

dotnetpower @Anoniem: 86327 • 16 november 2003 19:01

Je begrijpt me verkeerd, ik geef microsoft niet de schuld, ik leg de schuld eerder bij de klanten zelf.
Die klanten kregen we overigens voor reparatie. Pc's waren niet bij ons gekocht ofzo (sommige wel ja). Maar je kan klanten dat wel vertellen, maar de meeste houden zich er toch niet aan. Overigens adviseer je een klant met een 56k modem niet om steeds die zware updates te gaan downloaden / installeren

Anoniem: 95807 @dotnetpower • 17 november 2003 00:37

Daarom kan je ook grote updates, oa service packs gratis bij microsoft bestellen...

http://www.microsoft.com/netherlands/cdrom/default.asp

Verwijderd 16 november 2003 15:52

Een aardig lijstje met maatregelen, dit mag zeker toegejuicht worden door gebruikers met weinig ervaring.

Helaas ben ik er van overtuigt dat je systeem zonder goede virus scanner niet safe is, en dat gebruikers nu denken "ik heb SP2 toch ??? dan is mijn systeem veilig genoeg"

joco 16 november 2003 15:56

Gek wordt je er van al dat beveiligings gezeur..
Ik wil stabieller, sneller en meer features...

bv: Complete bluetooth ondersteuning, net als apple isynch... (smsen vanaf je computer via bluetooth->telefoon)

al dat security gezeur ....

Pietervs @joco • 16 november 2003 16:27

Ik wil stabieller, sneller en meer features...
En zeker ook nog eens gratis?
- Als jij stabieler wil, zul je toch moeten voorkomen dat virussen je PC laten crashen
- Als je sneller wil, zul je toch moeten voorkomen dat virussen jouw PC gebruiken om spam te relayen of DDos attacks uitvoeren vanaf jouw systeem
- Als je meer features wil moet je een virusscanner installeren

(want daar zitten features in die standaard niet in Windows zitten)

al dat security gezeur
Gelijk heb je. Je hebt zeker ook geen slot op je voordeur, want inbrekers komen toch wel binnen...

joco @Pietervs • 16 november 2003 16:48

Voor virussen heb ik een virus scanner lopen. En ja zo nu en dan zie ik wel eens een email binnen komen met een virus. Maar daar had ik echt geen probleem mee gehad als ik die virus scanner niet had. Want voor de meeste virussen geld dat het de schuld is van een stel domme mensen zelf. Heb zelfs vrienden die geen virus scanner draaien en NOOT geen enkele last hebben daar van.

Dus virussen laten mijn pc nooit crashen.. Sterker nog.. Heb wel eens rond gevraagd he wie heeft dat virus nu gekregen? Want ik wou die wel eens bekijken hoe die er uit zag (en ik kreeg hem maar iet

)

Tuurlijk moet het computer wel veilig zijn.. Maar tegen woordig wordt er tot het belachelijke op gehamerd.

Ook dat bluetooth commetaar weer.. Wat is dat nu? Bluetooth werkt al als een trein tussen allerlei telefoons en pda's en hebben we daar problemen? Nee want die security die er op zit werkt prima met het pairen van die dingen. Apple is op die gebieden echt veel verder daar moet MS zich op focussen voor X % van zijn tijd ipv zo het nu lijkt 100% op security zitten.

En daark omt bij dat de meeste dingen toch niet door de NAT router komen om op mijn computer te komen. Daar zit mijn beveiliging tov het internet.

nika @joco • 16 november 2003 16:17

Nee da's lekker. Heb je volledige blue tooth ondersteuning en dan kan de buurman iedere actie die jij onderneemt op communicatie tussen je pc en bijv. je PDA volgen...
Beveiliging lijkt me een top prioriteit hebben nu er steeds meer draadloos gebeurt.

Djith 16 november 2003 15:22

En welk addertje zit bij SP2 onder het gras? :-)

srblackbird @Djith • 16 november 2003 15:25

Een veiliger OS, dat is geen addertje onder het gras...
Ik vermoed ook niet dat ze poorten open gooien om te kunnen spioneren
En waarschijnlijk checken ze of je het OS wel legaal hebt, maar dat is geen addertje.

/typo

MacD @srblackbird • 16 november 2003 23:52

Sorry, maar jij hebt dus niet je EULA gelezen; volgens die van WMP9 (die in SP1 zit) mag MS nu willekeurige code runnen op jouw systeem, wanneer zij maar willen, en dat ze niet aansprakelijk zijn voor enige schade.

Dit houdt in dat ze DRM-componenten mogen installeren, je computer mogen crashen, alles mogen deleten of wat dan ook met software mogelijk is, zonder dat je weet wat ze doen of dat je 'nee' zegt, en jij zou dat toegelaten hebben omdat je de EULA hebt doorgeclickt. Ja, echt.

Dat noem ik een GROOT addertje onder het gras. Plus natuurlijk die performance daling...

Djith @srblackbird • 16 november 2003 15:30

Ik bedoel eerder het addertje prestatieverlies zoals bij SP1

GeeBee @Djith • 16 november 2003 15:26

Weet ik niet? Zeg het maar...
Ik verwacht in elk geval weer een uitgebreidere blacklist en verdere controle op illegale installaties...

Anoniem: 93354 16 november 2003 15:27

hoe checken ze dat dan? want ik heb wel een orgineel xp cd met key maar als ik nou bv van een kopie installeer omdat me orgineel niet bij de hand heb ofzo, wat dan? is het dan een legaal of illigaal os?

Gerco

@Anoniem: 93354 • 16 november 2003 15:30

Als je een licentie gekocht hebt, is het legaal, ongeacht het medium. In Amerika is dat weer anders vanwege de DMCA, maar voor zover ik weet hebben we die nog niet in NL.