Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 47 reacties
Bron: Techworld

Naar aanleiding van feedback van gebruikers en systeembeheerders van bedrijven die deelnemen aan Vista's Technical Adoption Program, heeft Microsoft besloten om de installatie van ActiveX-controls onder bepaalde voorwaarden toe te staan zonder dat daartoe iedere keer een admin-wachtwoord ingetikt hoeft te worden. De User Account Control in Microsofts komende Windows-versie leidde eerder tot kritiek van onder meer Gartner, die er zelfs een uitsteladvies aan verbond. Veelgehoorde kritiek vanuit de Vista-testende bedrijven was dat systeembeheerders overstelpt werden door autorisatieaanvragen van gebruikers die updates wilden installeren van bepaalde veelgebruikte ActiveX-controls. Daarop riep Microsoft de ActiveX Installer Service in het leven, die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren. De Windows-service zal als keuze-onderdeel worden meegeleverd met de Ultimate-, Business- en Enterprise-edities van Windows Vista. De ActiveX Installer Service staat ingepland om in de volgende publieke bètarelease van Windows Vista te worden opgenomen.

Administratorwachtwoord

Lees meer over

Moderatie-faq Wijzig weergave

Reacties (47)

Ik hoop dat Microsoft niet onder de druk bezwijkt van Gartner en daardoor weer met allerlei uitzonderingsituaties gaat komen waar het wel toegestaan is. Ik zie dan de kans op security threats namelijk aanzienlijk toenemen.
Het zal altijd een consessie zijn tussen beveiliging aan de éné kant en gebruikersgemak aan de andere. Zolang Microsoft het apart bijlevert, zoals nu het geval met de 'ActiveX Installer Service', dan zie ik niet zo'n probleem. Het zal wel zo zijn dat virus-schrijvers zich enorm gaan verdiepen in de werking van deze service, om deze voor hun doel te gebruiken, maar dat is niks nieuws.

Toch ontlast deze service de admin, waardoor deze niet zo gauw geneigd is om de extra beveiliging volledig uit te schakelen (het Gartner advies), waardoor de gebruiker (toch nog steeds de zwakste schakel) wat gemakkelijker zijn systeem kan gebruiken op een veilige manier.
Ik hoop wel dat die extra service een beetje geintegreerd met de rest wordt geprogrammeerd en niet als "last minute feature", want dan zul je net zien dat er weer eens veiligheidslekken in zitten
Ik vraag me toch af wat een ActiveX control of enige andere applicatie op het web in hemelsnaam moet doen op iemands computer buiten een temporary file/cache, al dan niet met administrator rechten.

Een webapplicatie moet imho op het web (servers van de host) draaien anders moet je maar software downloaden en expliciet installeren, die kan dan queries doen naar een weblocatie.

Lokaal wat JavaScript uitvoeren kan misschien nog maar iets moeten schrijven/veranderen op de schijf van een gebruiker vind ik toch iets te ver gaan voor een webpagina.
Wat dacht je van de streaming audio en video controls, Microsoft, Windows en Office Update, maar ook Adobe Acrobat maken gebruik van ActiveX...

Het lijkt me dan toch wel dat er nuttige toepassingen voor zijn.
@MagicPatrick:

Dat kan toch ook allemaal zonder ActiveX? Kijk maar naar andere besturingssystemen.
"bepaalde url's"... wat ik me dan weer afvraag is wie die bepaalde urls bepaald, en -belangrijker- hoe makkelijk het gaat worden voor mallafide software om die lijst met bepaalde url's aan te passen.

Natuurlijk wordt er wel over nagedacht, maar in de praktijk blijken de malware mensen behoorlijk 'vindingrijk'.. Deze service hoef ik in m'n prive-desktop iig niet ;)

/edit: begrijp me verder niet verkeerd. Ik vind dit nog steeds goed nieuws. MS luisterd echt, en ik ben het eens met de achterliggende gedachte.
"bepaalde url's"... wat ik me dan weer afvraag is wie die bepaalde urls bepaald
het lijkt me dat de systeembeheerder (diegene met een admin wachtwoord) deze bepaalt
Daarop riep Microsoft de ActiveX Installer Service in het leven, die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren.
Als het goed is bepaald niet de systeembeheerder deze URL's maar de security board of security officer binnen een bedrijf. "Wat, een security board/officer?" zullen vele denken. Da kenne we niet. En dat is het grootste probleem hier in Nederland. Bijna ieder internationaal bedrijf heeft het, maar Nederland loopt hierin flink achter op de rest van de Wereld (Onderzoeken van Gartner, IDC, Metagroup). Hier in Nederland wordt dit soort zaken meestal bepaald door de ICT afdelingen/systeembeheerders waardoor er binnen bedrijven geen éénduidig beleid is.
Zou dat misschien ook een beetje komen omdat een Nederlands (dus nationaal) bedrijf kleiner is dan een internationaal bedrijf? ;)
Er zijn aardig wat bedrijven en universiteiten hier in Nederland die een CERT hebben. Die security officer/board hebben ze dus wel alleen heet dat niet zo. Niet ieder bedrijf implementeerd iets als ITIL en ook niet ieder bedrijf implementeerd dat volledig. In veel MKB bedrijven zijn er nogal wat mensen met 2 of meer functies. Het mag dan wel systeembeheerder heten, maar wat versta jij daaronder?
In veel bedrijven is een systeembeheerder naast helpdesker, netwerkbeheerder ook een security officer. Systeembeheerder is van oudsher een uitermate breed begrip. In de loop der jaren hebben ze dat lopen opsplitsen in diverse disciplines. In grote bedrijven zie je at heel goed, in het MKB niet. Je kunt trouwens ook beslissen dat security een standaard onderdeel van een functie is. Applicatiebeheer gaat dan over de security van de applicaties, netwerkbeheer over die van netwerken, systeembeheer over de overige security zaken, om maar eens wat te noemen.

Dat ze in Duitsland alleen maar EDV hebben betekent niet dat ze er helemaal geen ICT hebben. In Duitsland bedoelen ze met EDV nou juist wat wij ICT noemen. Het is dus hetzelfde maar heet anders, zo ook dat security officer/board verhaal. Bedrijven hier in Nederland hebben beslist wel zoiets, alleen heet het bij lange na niet altijd zo en is het vaak ook niet zo ingedeeld. Toch maar eens wat verder kijken dan je neus lang is ;)
Wat mij het meest logisch lijkt is dat het in de AD in te stellen valt via de policy's..
Dus dat je wel activeX applicatie's kan instaleren van *.macromedia.com maar niet van www.viezeplaatjes-met-gratis-dialers.nl kan downloaden.

Als dit een beetje goed uitgewerkt wordt kan je die policy mooi toepassen op al je systemen met een paar klikken.
die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren.
Waarschijnlijk de systeembeheerders, en dat zal dan wel alleen met admin rechten kunnen, die de gebruikers of malafide software niet hebben.
Daarop riep Microsoft de ActiveX Installer Service in het leven, die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren
Als je even leest dan bepalen dus de systeembeheerders wat die 'bepaalde urls' dan zijn.

Edit: net te laat.
heeft Microsoft besloten om de installatie van ActiveX-controls onder bepaalde voorwaarden toe te staan zonder dat daartoe iedere keer een admin-wachtwoord ingetik hoeft te worden.
Is er geen optie om dat soort controls per-user (in tegenstelling tot system-wide) te installeren dan?
Natuurlijk moet zoiets kunnen. Maar dan moet er wel vanaf het begin rekening mee gehouden worden
Nu is er een gigantische hoeveelheid active-x spul in omloop die met dat soort beprkingen niet kan omgaan, simpelweg omdat ze er nooit rekening mee hebben hoeven houden dat ze ooit in zo'n omgeving terecht zouden kunnen komen.
Het zou dus kunnen, maar heel veel active-x controls zouden in een keer niet meer werken.

Microsoft probeerd op deze manier de kool en de geit te sparen, uiteraard ten koste van de systeembeheerder die straks weereen lijstje meer te beheren heeft.
dat is dan securitywise een goede optie, dichten die gatengaas :).
Voor een systeem beheerder is dit goed nieuws, jammer dat de thuisgebruiker hier weinig mee kan.

Het zou helemaal mooi zijn als ze dit systeem koppelen op de een of andere manier aan windows defender. De flash control bijvoorbeeld wordt automatisch toegestaan in de huidige software, dus zou het logisch zijn dat (voor de thuisgebruikers) deze ook in de standaard ActiveX URL lijst staat. Dus nogmaals, jammer, gezien het niet wordt geleverd op de thuisversies.
Zelfs al Pinguin fan-boy zou ik toch even willen zeggen dat Linux niet zomaar je antwoord gaat geven... zonder dat je gaat spelen met een stukkie rechten management. Iets dat je ook in Windows kan, al is het onder linux wellicht wat eenvoudiger te centraliseren achter sudo ivm Windows.

Voor de Windows gebruikers, met sudo (een kleine executable Super User Do) kan je per gebruiker of group gebruikers configureren welke executables/scripts/whatever de gebruiker met Admin rechten kan uitvoeren. Zoals bijv. een installatie van een paar dingen.

En zonder die tool kan je iig nog voldoende dingen doen in de useromgeving (wat je in Windows ook wel kan), maar heb toch wel vaak het idee dat je maar al te vaak niet zonder Admin rechten verder kan tot je doel. Onder Unix omgevingen kan je vaak nog software in je eigen omgeving neerzetten en gebruiken (met wat geknutsel).
Ik denk niet dat sudo binnen een grote omgeving echt zal werken. Je moet of met een apart sudo-wachtwoord per user gaan werken (en users hebben al moeite 1 wachtwoord te onthouden, laat staan 2 waarvan er 1 bijna nooit gebruikt word), of met 1 sudo-wachtwoord voor iedereen, wat je vervolgens net zo goed blanco kan laten want binnen een maand weet iedereen, inclusief de schoonmaker en de familie van de werknemers dat wachtwoord.
Ik denk niet dat sudo binnen een grote omgeving echt zal werken. Je moet of met een apart sudo-wachtwoord per user gaan werken, of met 1 sudo-wachtwoord voor iedereen
hoe kom je daar nu bij? sudo authenticeerd gewoon tegen de geinstaleerde authenticatie methode aan, dus de gebruiker hoeft maar 1 wachtwoord (zijn eigen wachtwoord) te onthouden. Sudo kun je zo configureren dat als een gebruiker in een bepaalde groep zit, hij dingen mag doen, anders niet.
...maar heb toch wel vaak het idee dat je maar al te vaak niet zonder Admin rechten verder kan tot je doel. Onder Unix omgevingen kan je vaak nog software in je eigen omgeving neerzetten en gebruiken (met wat geknutsel).
Klopt, maar dat ligt volgens mij vooral aan de software, en het ligt er vooral aan dat het tot nu toe gebruikelijk is voor een installer om Admin-rechten te vereisen... wellicht gaat dat met de komst van Vista eindelijk ook verbeteren.
LINUX!!! LINUX!!! LINUX!!!
Welke Linux distributie ondersteunt per-user package installatie?
Welke Linux distributie ondersteunt per-user package installatie?
kon je dat niet met Novell's Zenworks product realiseren onder ieder ondersteund OS? (Windows, MacOS en Linux)

okay, eigelijk een beetje cheap om achterwaards op een troll te reageren, maar het is wel een valide vraag :)
Verder alles goed?
Er staat nog wel een potje LGPL pilletjes hier ergens hoor ;)
Blijkbaar zijn ze bij Microsoft toch bang dat veel bedrijven niet snel willen upgraden als er teveel op dit vlak wijzigt en kiezen ze daarom met die Active X installer service weer eens voor een lapmiddels als oplossing...

Eigen schuld dikke bult, dat hele Active X is natuurlijk een ramp voor de veiligheid van je PC en het kan niet anders dan dat ze bij Microsoft anno 2006 spijt hebben dat dit ooit door hen bedacht is.

Op deze manier komt Microsoft er natuurlijk nooit meer vanaf en vervalt er weer een argument voor het upgraden naar Vista .
Blijkbaar zijn ze bij Microsoft toch bang dat veel bedrijven niet snel willen upgraden als er teveel op dit vlak wijzigt en kiezen ze daarom met die Active X installer service weer eens voor een lapmiddels als oplossing...
Het lijkt inderdaad dat MS daar een beetje bang voor is, maar dat is nog wel het vreemdste van alles. Iedereen weet dat bedrijven heel erg schuchter zijn als het om het vervangen van het huidige OS gaat. D'r zijn zat bedrijven die pas overstappen op XP als Vista uit is.

Bedrijven die makkelijker te porren zijn voor een migratie wachten meestal in elk geval een tijdje om te zien hoeveel flak er los barst, of tot de eerste servicepack uit is.
ik vraag me af hoe lang bedrijven blijven migreren van windows naar windows naar windows
als je geen activeX wil dan schakel je het toch gewoon uit. Het probleem is dat per defenitie alle programmatuur fout kan zijn, dus ook activex
Eigen schuld dikke bult, dat hele Active X is natuurlijk een ramp voor de veiligheid van je PC en het kan niet anders dan dat ze bij Microsoft anno 2006 spijt hebben dat dit ooit door hen bedacht is.
Volgens mij weet je nauwelijks wat ActiveX eigenlijk is. De basis van ActiveX is een universele scriptapi waarmee je allerlei verschillende scriptengines kan ondersteunen. Zo is bijvoorbeeld Javascript in IE een ActiveX scripttaal en wel 1 die samen met vba standaard met IE wordt meegeleverd. Op zich is dat een heel handig concept omdat je in een willekeurige scripttaal webpagina's kan opbouwen en door IE kan laten renderen. Een vermogen dat alle andere browsers missen. Daarnaast kunne ActiveX objecten worden toegepast. De onveiligheid zit hem in de manier waarop deze dingen met de browser communiceren en de mate waarin de gebruiker daarbij toestemmig voor bepaalde acties moet geven..
Bedenk echter wel dat ALLE browsers alternatieve methodes hebben om ook dergelijke functionaliteit te beiden met een eigen javascript engine en bijvoorbeeld plugin's. In principe kun je bijvoorbeeld met een FF plugin vergelijkbare schade aanrichten als met een ActiveX control. Er zijn echter nog niet echt sites die een FF plugin aanbieden om hun content te bekijken. Dat zet gewoon nog weinig zoden aan de dijk. FF gebruikers zijn over het algemeen wat voorzichtiger en halen hun plugin's over het algemeen alleen van de mozilla site.
Het is echter best voorstelbaar dat sites die betaalcontent aanbieden (porno bijvoorbeeld) daarvoor eigen FF plugin's gaan leveren zeker wanneer de FF gebruikers een interesante markt gaan vormen.
Ik denk dat als jij als werknemer bij elke site een popup krijg met die security melding, waarvoor jij de admin nodig hebt, dat je dat OS niet meer wilt gebruiken.

Ik heb ook even Vista geinstalleerd en krijg bij vele sites de melding of ik de activeX wou installeren. Maar omdat het om een security issue gaat, wordt de rest van het scherm zwart en krijg je alleen die melding. Op zich wel goed, maar niet voor een 'lousy' internet pagina, die alleen Flash nodig heeft.

Dus als ze dit kunnen voorkomen, wordt het een stuk aantrekkelijker om naar het nieuwe OS te gaan.
Hoop dat je als systeembeheerder meer kan instellen dmv gpo`s ipv er zelf oplossingen voor te verzinnen.
Die optie heb je nu anders ook al (administrator approved addins, en een nogal granulaire IE security ADM template)...
En inderdaad is het in de voor zakelijk bedoelde Vista versies nog uitgebreider dan nu al met XP Pro het geval is.
doelde eigelijk in het algemeen.

zoals .net etc
Hoeveel van die kleine kut programmatjes (workarounds) zitten er nou al in Vista man?
Weet jij nog 1 andere dan ?
Microsoft Malicious Sortware Remover?

jah, ik weet het, stoot onder de gordel enzo... :)
Ik heb zo het gevoel dat dit systeem ook meteen weer een zwakte kan worden in de beveiliging van Vista, waardoor niet goedgekeurde ActiveX controls toch binnengesmokkeld kunnen worden.
Dan installeer je het niet, het is alleen bedoelt voor luie systeembeheerders die niet voor iedere active x component toestemming willen geven, en het is niet standaard geïnstalleerd, ben je bang voor de security moet je dit zowiezo niet installeren.
Merkwaardig advies van de Gartner Group. Ze waren toch voorstanders van een hoge mate van standaardisatie? Als elke gebruiker in een organisatie zomaar installatiehandelingen kan verrichten, zijn alle PC's in een organisatie na enige tijd verschillend en is er van standaardisatie geen sprake meer.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True