Microsoft versoepelt Vista's ActiveX-gebruikersbeperkingen

Naar aanleiding van feedback van gebruikers en systeembeheerders van bedrijven die deelnemen aan Vista's Technical Adoption Program, heeft Microsoft besloten om de installatie van ActiveX-controls onder bepaalde voorwaarden toe te staan zonder dat daartoe iedere keer een admin-wachtwoord ingetikt hoeft te worden. De User Account Control in Microsofts komende Windows-versie leidde eerder tot kritiek van onder meer Gartner, die er zelfs een uitsteladvies aan verbond. Veelgehoorde kritiek vanuit de Vista-testende bedrijven was dat systeembeheerders overstelpt werden door autorisatieaanvragen van gebruikers die updates wilden installeren van bepaalde veelgebruikte ActiveX-controls. Daarop riep Microsoft de ActiveX Installer Service in het leven, die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren. De Windows-service zal als keuze-onderdeel worden meegeleverd met de Ultimate-, Business- en Enterprise-edities van Windows Vista. De ActiveX Installer Service staat ingepland om in de volgende publieke bètarelease van Windows Vista te worden opgenomen.

Reacties (47)

Anoniem: 14124 25 juni 2006 18:38

Ik hoop dat Microsoft niet onder de druk bezwijkt van Gartner en daardoor weer met allerlei uitzonderingsituaties gaat komen waar het wel toegestaan is. Ik zie dan de kans op security threats namelijk aanzienlijk toenemen.

Anoniem: 116213 @Anoniem: 14124 • 25 juni 2006 19:25

Het zal altijd een consessie zijn tussen beveiliging aan de éné kant en gebruikersgemak aan de andere. Zolang Microsoft het apart bijlevert, zoals nu het geval met de 'ActiveX Installer Service', dan zie ik niet zo'n probleem. Het zal wel zo zijn dat virus-schrijvers zich enorm gaan verdiepen in de werking van deze service, om deze voor hun doel te gebruiken, maar dat is niks nieuws.

Toch ontlast deze service de admin, waardoor deze niet zo gauw geneigd is om de extra beveiliging volledig uit te schakelen (het Gartner advies), waardoor de gebruiker (toch nog steeds de zwakste schakel) wat gemakkelijker zijn systeem kan gebruiken op een veilige manier.

TromboneFreakus @Anoniem: 116213 • 25 juni 2006 19:37

Ik hoop wel dat die extra service een beetje geintegreerd met de rest wordt geprogrammeerd en niet als "last minute feature", want dan zul je net zien dat er weer eens veiligheidslekken in zitten

Guru Evi @Anoniem: 116213 • 26 juni 2006 04:21

Ik vraag me toch af wat een ActiveX control of enige andere applicatie op het web in hemelsnaam moet doen op iemands computer buiten een temporary file/cache, al dan niet met administrator rechten.

Een webapplicatie moet imho op het web (servers van de host) draaien anders moet je maar software downloaden en expliciet installeren, die kan dan queries doen naar een weblocatie.

Lokaal wat JavaScript uitvoeren kan misschien nog maar iets moeten schrijven/veranderen op de schijf van een gebruiker vind ik toch iets te ver gaan voor een webpagina.

Anoniem: 66233 @Guru Evi • 26 juni 2006 09:12

Wat dacht je van de streaming audio en video controls, Microsoft, Windows en Office Update, maar ook Adobe Acrobat maken gebruik van ActiveX...

Het lijkt me dan toch wel dat er nuttige toepassingen voor zijn.

McChouffe @Guru Evi • 26 juni 2006 09:38

@MagicPatrick:

Dat kan toch ook allemaal zonder ActiveX? Kijk maar naar andere besturingssystemen.

BramT 25 juni 2006 18:39

"bepaalde url's"... wat ik me dan weer afvraag is wie die bepaalde urls bepaald, en -belangrijker- hoe makkelijk het gaat worden voor mallafide software om die lijst met bepaalde url's aan te passen.

Natuurlijk wordt er wel over nagedacht, maar in de praktijk blijken de malware mensen behoorlijk 'vindingrijk'.. Deze service hoef ik in m'n prive-desktop iig niet

/edit: begrijp me verder niet verkeerd. Ik vind dit nog steeds goed nieuws. MS luisterd echt, en ik ben het eens met de achterliggende gedachte.

kUmbro @BramT • 25 juni 2006 19:10

"bepaalde url's"... wat ik me dan weer afvraag is wie die bepaalde urls bepaald

het lijkt me dat de systeembeheerder (diegene met een admin wachtwoord) deze bepaalt

Daarop riep Microsoft de ActiveX Installer Service in het leven, die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren.

Wim-Bart @kUmbro • 26 juni 2006 08:43

Als het goed is bepaald niet de systeembeheerder deze URL's maar de security board of security officer binnen een bedrijf. "Wat, een security board/officer?" zullen vele denken. Da kenne we niet. En dat is het grootste probleem hier in Nederland. Bijna ieder internationaal bedrijf heeft het, maar Nederland loopt hierin flink achter op de rest van de Wereld (Onderzoeken van Gartner, IDC, Metagroup). Hier in Nederland wordt dit soort zaken meestal bepaald door de ICT afdelingen/systeembeheerders waardoor er binnen bedrijven geen éénduidig beleid is.

ppl @Wim-Bart • 26 juni 2006 10:58

Er zijn aardig wat bedrijven en universiteiten hier in Nederland die een CERT hebben. Die security officer/board hebben ze dus wel alleen heet dat niet zo. Niet ieder bedrijf implementeerd iets als ITIL en ook niet ieder bedrijf implementeerd dat volledig. In veel MKB bedrijven zijn er nogal wat mensen met 2 of meer functies. Het mag dan wel systeembeheerder heten, maar wat versta jij daaronder?
In veel bedrijven is een systeembeheerder naast helpdesker, netwerkbeheerder ook een security officer. Systeembeheerder is van oudsher een uitermate breed begrip. In de loop der jaren hebben ze dat lopen opsplitsen in diverse disciplines. In grote bedrijven zie je at heel goed, in het MKB niet. Je kunt trouwens ook beslissen dat security een standaard onderdeel van een functie is. Applicatiebeheer gaat dan over de security van de applicaties, netwerkbeheer over die van netwerken, systeembeheer over de overige security zaken, om maar eens wat te noemen.

Dat ze in Duitsland alleen maar EDV hebben betekent niet dat ze er helemaal geen ICT hebben. In Duitsland bedoelen ze met EDV nou juist wat wij ICT noemen. Het is dus hetzelfde maar heet anders, zo ook dat security officer/board verhaal. Bedrijven hier in Nederland hebben beslist wel zoiets, alleen heet het bij lange na niet altijd zo en is het vaak ook niet zo ingedeeld. Toch maar eens wat verder kijken dan je neus lang is

AdLentis @Wim-Bart • 26 juni 2006 09:29

Zou dat misschien ook een beetje komen omdat een Nederlands (dus nationaal) bedrijf kleiner is dan een internationaal bedrijf?

Hennie-M

@BramT • 25 juni 2006 20:19

Wat mij het meest logisch lijkt is dat het in de AD in te stellen valt via de policy's..
Dus dat je wel activeX applicatie's kan instaleren van *.macromedia.com maar niet van www.viezeplaatjes-met-gratis-dialers.nl kan downloaden.

Als dit een beetje goed uitgewerkt wordt kan je die policy mooi toepassen op al je systemen met een paar klikken.

Scorpion1984 @BramT • 25 juni 2006 19:10

die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren.

Waarschijnlijk de systeembeheerders, en dat zal dan wel alleen met admin rechten kunnen, die de gebruikers of malafide software niet hebben.

Anoniem: 159062 @BramT • 25 juni 2006 19:14

Daarop riep Microsoft de ActiveX Installer Service in het leven, die systeembeheerders zo kunnen instellen dat bepaalde gebruikersgroepen vanaf bepaalde url's ActiveX-controls mogen installeren

Als je even leest dan bepalen dus de systeembeheerders wat die 'bepaalde urls' dan zijn.

Edit: net te laat.

Olaf van der Spek 25 juni 2006 18:39

heeft Microsoft besloten om de installatie van ActiveX-controls onder bepaalde voorwaarden toe te staan zonder dat daartoe iedere keer een admin-wachtwoord ingetik hoeft te worden.

Is er geen optie om dat soort controls per-user (in tegenstelling tot system-wide) te installeren dan?

locke960 @Olaf van der Spek • 25 juni 2006 19:08

Natuurlijk moet zoiets kunnen. Maar dan moet er wel vanaf het begin rekening mee gehouden worden
Nu is er een gigantische hoeveelheid active-x spul in omloop die met dat soort beprkingen niet kan omgaan, simpelweg omdat ze er nooit rekening mee hebben hoeven houden dat ze ooit in zo'n omgeving terecht zouden kunnen komen.
Het zou dus kunnen, maar heel veel active-x controls zouden in een keer niet meer werken.

Microsoft probeerd op deze manier de kool en de geit te sparen, uiteraard ten koste van de systeembeheerder die straks weereen lijstje meer te beheren heeft.

OpenMinded @locke960 • 26 juni 2006 08:22

dat is dan securitywise een goede optie, dichten die gatengaas

guanche 25 juni 2006 18:47

Voor een systeem beheerder is dit goed nieuws, jammer dat de thuisgebruiker hier weinig mee kan.

Het zou helemaal mooi zijn als ze dit systeem koppelen op de een of andere manier aan windows defender. De flash control bijvoorbeeld wordt automatisch toegestaan in de huidige software, dus zou het logisch zijn dat (voor de thuisgebruikers) deze ook in de standaard ActiveX URL lijst staat. Dus nogmaals, jammer, gezien het niet wordt geleverd op de thuisversies.

VisionMaster @Anoniem: 173876 • 25 juni 2006 19:22

Zelfs al Pinguin fan-boy zou ik toch even willen zeggen dat Linux niet zomaar je antwoord gaat geven... zonder dat je gaat spelen met een stukkie rechten management. Iets dat je ook in Windows kan, al is het onder linux wellicht wat eenvoudiger te centraliseren achter sudo ivm Windows.

Voor de Windows gebruikers, met sudo (een kleine executable Super User Do) kan je per gebruiker of group gebruikers configureren welke executables/scripts/whatever de gebruiker met Admin rechten kan uitvoeren. Zoals bijv. een installatie van een paar dingen.

En zonder die tool kan je iig nog voldoende dingen doen in de useromgeving (wat je in Windows ook wel kan), maar heb toch wel vaak het idee dat je maar al te vaak niet zonder Admin rechten verder kan tot je doel. Onder Unix omgevingen kan je vaak nog software in je eigen omgeving neerzetten en gebruiken (met wat geknutsel).

SirBlade @VisionMaster • 25 juni 2006 22:02

Ik denk niet dat sudo binnen een grote omgeving echt zal werken. Je moet of met een apart sudo-wachtwoord per user gaan werken (en users hebben al moeite 1 wachtwoord te onthouden, laat staan 2 waarvan er 1 bijna nooit gebruikt word), of met 1 sudo-wachtwoord voor iedereen, wat je vervolgens net zo goed blanco kan laten want binnen een maand weet iedereen, inclusief de schoonmaker en de familie van de werknemers dat wachtwoord.

arjankoole @SirBlade • 25 juni 2006 23:24

Ik denk niet dat sudo binnen een grote omgeving echt zal werken. Je moet of met een apart sudo-wachtwoord per user gaan werken, of met 1 sudo-wachtwoord voor iedereen

hoe kom je daar nu bij? sudo authenticeerd gewoon tegen de geinstaleerde authenticatie methode aan, dus de gebruiker hoeft maar 1 wachtwoord (zijn eigen wachtwoord) te onthouden. Sudo kun je zo configureren dat als een gebruiker in een bepaalde groep zit, hij dingen mag doen, anders niet.

Soze @VisionMaster • 25 juni 2006 23:05

...maar heb toch wel vaak het idee dat je maar al te vaak niet zonder Admin rechten verder kan tot je doel. Onder Unix omgevingen kan je vaak nog software in je eigen omgeving neerzetten en gebruiken (met wat geknutsel).

Klopt, maar dat ligt volgens mij vooral aan de software, en het ligt er vooral aan dat het tot nu toe gebruikelijk is voor een installer om Admin-rechten te vereisen... wellicht gaat dat met de komst van Vista eindelijk ook verbeteren.

Olaf van der Spek @Anoniem: 173876 • 25 juni 2006 18:40

LINUX!!! LINUX!!! LINUX!!!

Welke Linux distributie ondersteunt per-user package installatie?

arjankoole @Olaf van der Spek • 25 juni 2006 23:21

Welke Linux distributie ondersteunt per-user package installatie?

kon je dat niet met Novell's Zenworks product realiseren onder ieder ondersteund OS? (Windows, MacOS en Linux)

okay, eigelijk een beetje cheap om achterwaards op een troll te reageren, maar het is wel een valide vraag

alt-92 @Anoniem: 173876 • 25 juni 2006 20:43

Verder alles goed?
Er staat nog wel een potje LGPL pilletjes hier ergens hoor

zordaz 25 juni 2006 23:18

Blijkbaar zijn ze bij Microsoft toch bang dat veel bedrijven niet snel willen upgraden als er teveel op dit vlak wijzigt en kiezen ze daarom met die Active X installer service weer eens voor een lapmiddels als oplossing...

Eigen schuld dikke bult, dat hele Active X is natuurlijk een ramp voor de veiligheid van je PC en het kan niet anders dan dat ze bij Microsoft anno 2006 spijt hebben dat dit ooit door hen bedacht is.

Op deze manier komt Microsoft er natuurlijk nooit meer vanaf en vervalt er weer een argument voor het upgraden naar Vista .

arjankoole @zordaz • 25 juni 2006 23:28

Blijkbaar zijn ze bij Microsoft toch bang dat veel bedrijven niet snel willen upgraden als er teveel op dit vlak wijzigt en kiezen ze daarom met die Active X installer service weer eens voor een lapmiddels als oplossing...

Het lijkt inderdaad dat MS daar een beetje bang voor is, maar dat is nog wel het vreemdste van alles. Iedereen weet dat bedrijven heel erg schuchter zijn als het om het vervangen van het huidige OS gaat. D'r zijn zat bedrijven die pas overstappen op XP als Vista uit is.

Bedrijven die makkelijker te porren zijn voor een migratie wachten meestal in elk geval een tijdje om te zien hoeveel flak er los barst, of tot de eerste servicepack uit is.

daft_dutch @arjankoole • 26 juni 2006 00:21

ik vraag me af hoe lang bedrijven blijven migreren van windows naar windows naar windows

Sissors @zordaz • 26 juni 2006 08:07

als je geen activeX wil dan schakel je het toch gewoon uit. Het probleem is dat per defenitie alle programmatuur fout kan zijn, dus ook activex

Anoniem: 80466 @zordaz • 26 juni 2006 11:21

Eigen schuld dikke bult, dat hele Active X is natuurlijk een ramp voor de veiligheid van je PC en het kan niet anders dan dat ze bij Microsoft anno 2006 spijt hebben dat dit ooit door hen bedacht is.

Volgens mij weet je nauwelijks wat ActiveX eigenlijk is. De basis van ActiveX is een universele scriptapi waarmee je allerlei verschillende scriptengines kan ondersteunen. Zo is bijvoorbeeld Javascript in IE een ActiveX scripttaal en wel 1 die samen met vba standaard met IE wordt meegeleverd. Op zich is dat een heel handig concept omdat je in een willekeurige scripttaal webpagina's kan opbouwen en door IE kan laten renderen. Een vermogen dat alle andere browsers missen. Daarnaast kunne ActiveX objecten worden toegepast. De onveiligheid zit hem in de manier waarop deze dingen met de browser communiceren en de mate waarin de gebruiker daarbij toestemmig voor bepaalde acties moet geven..
Bedenk echter wel dat ALLE browsers alternatieve methodes hebben om ook dergelijke functionaliteit te beiden met een eigen javascript engine en bijvoorbeeld plugin's. In principe kun je bijvoorbeeld met een FF plugin vergelijkbare schade aanrichten als met een ActiveX control. Er zijn echter nog niet echt sites die een FF plugin aanbieden om hun content te bekijken. Dat zet gewoon nog weinig zoden aan de dijk. FF gebruikers zijn over het algemeen wat voorzichtiger en halen hun plugin's over het algemeen alleen van de mozilla site.
Het is echter best voorstelbaar dat sites die betaalcontent aanbieden (porno bijvoorbeeld) daarvoor eigen FF plugin's gaan leveren zeker wanneer de FF gebruikers een interesante markt gaan vormen.

SPee @zordaz • 26 juni 2006 11:46

Ik denk dat als jij als werknemer bij elke site een popup krijg met die security melding, waarvoor jij de admin nodig hebt, dat je dat OS niet meer wilt gebruiken.

Ik heb ook even Vista geinstalleerd en krijg bij vele sites de melding of ik de activeX wou installeren. Maar omdat het om een security issue gaat, wordt de rest van het scherm zwart en krijg je alleen die melding. Op zich wel goed, maar niet voor een 'lousy' internet pagina, die alleen Flash nodig heeft.

Dus als ze dit kunnen voorkomen, wordt het een stuk aantrekkelijker om naar het nieuwe OS te gaan.

Duinkonijn 25 juni 2006 18:53

Hoop dat je als systeembeheerder meer kan instellen dmv gpo`s ipv er zelf oplossingen voor te verzinnen.

alt-92 @Duinkonijn • 25 juni 2006 20:46

Die optie heb je nu anders ook al (administrator approved addins, en een nogal granulaire IE security ADM template)...
En inderdaad is het in de voor zakelijk bedoelde Vista versies nog uitgebreider dan nu al met XP Pro het geval is.

Duinkonijn @alt-92 • 25 juni 2006 23:15

doelde eigelijk in het algemeen.

zoals .net etc

Anoniem: 151145 25 juni 2006 18:48

Da's natuurlijk voor die goedkope cms-en die gebruik maken van active-x. En daarmee beheer vanaf een mac onmogelijk maken... zou verboden moeten worden.

soheilmd 26 juni 2006 00:23

Ik als syteem beheerder zou ook niet direct op vista overstappen, eerstens te duur, tweedens wil ik eerst zien hoe het in praktijk is en zelf paar maanden ermee werken voordat ik mijn bedrijf advies geef om over te stappen, tuurlijk voor thuis is het leuk om direkt met het nieuwste aan de gang gaan maar als bedrijf zijnde moet met zoveel dingen rekening gehouden worden

Anoniem: 50893 26 juni 2006 02:39

Jammer dat er ingeboet word op de veiligheid, het grootste gevaar, na een bleu screen

Op dit item kan niet meer gereageerd worden.

Microsoft versoepelt Vista's ActiveX-gebruikersbeperkingen

Lees meer

Reacties (47)

Sorteer op:

Weergave: