8min

Tags in dit artikel

,

Voor de Nederlandse XP gebruikers,

Omdat er verschillende verhalen over het internet gaan is hier de toelichting van SP2
vanuit Microsoft©

Veranderingen in Windows XP Service Pack 2
Dit artikel bevat voorlopige informatie over de beveiligingstechnologieën in Windows XP SP2.

Samenvatting: met Windows XP Service Pack 2 (SP2) introduceert Microsoft een set beveiligingstechnologieën waarmee computers met Windows XP beter bestand zijn tegen aanvallen van virussen en wormen. Deze technologieën omvatten:

Netwerkbeveiliging
Geheugenbeveiliging
Veiliger e-mail
Veiliger surfen
In dit artikel worden de eerste twee punten van deze lijst behandeld.

De combinatie van deze beveiligingstechnieken maken het moeilijker om Windows XP aan te vallen, zelfs als de laatste patches of updates niet zijn geïnstalleerd. Samen zijn deze beveiligingstechnologieën vooral nuttig als afweer tegen wormen en virussen.

In dit artikel worden vroege ideeën over SP2 en de gevolgen hiervan voor ontwikkelaars en systeembeheerders besproken. Naarmate we verder komen, komt er meer informatie beschikbaar op het Microsoft Developer Network (MSDN) Security Developer Center . Het doel van SP2 is om voort te bouwen op het Trustworthy Computing-programma dat eerder is toegepast op Windows Server 2003. U vindt meer informatie over het Microsoft Trustworthy Computing-initiatief in het overzicht met de titel Trustworthy Computing Defined .

Overzicht van de beveiligingstechnologieën in Windows XP SP2

Veel van onze klanten willen of kunnen de patches niet onmiddellijk uit rollen zodra deze beschikbaar worden. Toch moeten ook zij beveiligd zijn tegen de risico’s die met de patches worden beperkt. Elk beveiligingsbulletin dat Microsoft uitgeeft, bevat informatie die klanten kunnen gebruiken om risico’s te verminderen als zij de patch gebruiken. Microsoft blijft bezig met de ontwikkeling van beveiligingstechnologieën om risico’s te verminderen voordat een patch wordt geïnstalleerd. Deze beveiligingstechnologieën omvatten de volgende gebieden:

Netwerkbeveiliging.

Deze beveiligingstechnologieën helpen bij een betere beveiliging tegen aanvallen via het netwerk, zoals Blaster, via een aantal innovaties, waaronder verbeteringen van Firewall voor Internet-verbinding (ICF, Internet Connection Firewall). De geplande verbeteringen omvatten het inschakelen van Firewall voor Internet-verbinding bij standaardinstallaties van SP2, het sluiten van poorten als deze niet worden gebruikt, het verbeteren van de gebruikersinterface voor configuratie, het verbeteren van applicatiecompatibiliteit wanneer Firewall voor Internet-verbinding is ingeschakeld en het verbeteren van het infrastructuurbeheer van Firewall voor Internet-verbinding via Groepsbeleid (Group Policy). Het kwetsbare gebied van de RPC-service wordt verkleind en kan door een beperktere groep met privileges worden uitgevoerd. De DCOM-infrastructuur biedt ook extra beperkingen voor toegangsbeheer om het risico van een geslaagde netwerkaanval te verminderen.
Geheugenbeveiliging. Sommige aanvallen van kwaadwillige software maken misbruik van zwakke plekken in software waardoor te veel gegevens worden gekopieerd naar gebieden in het geheugen van de computer. Deze zwakke plekken worden meestal buffer-overruns genoemd. Hoewel dit type zwakke plek niet helemaal kan worden opgelost met één techniek, gebruikt Microsoft een aantal beveiligingstechnologieën om deze aanvallen van verschillende kanten te voorkomen. Ten eerste worden de basiscomponenten van Windows opnieuw gecompileerd met de nieuwste versie van onze compiler-technologie om het risico van buffer-overruns te verkleinen. Bovendien werkt Microsoft samen met fabrikanten van microprocessors aan de ondersteuning binnen Windows voor hardwarematige ‘no execute’-functies (of NX) op microprocessors met deze voorziening. NX gebruikt de CPU zelf om de scheiding tussen applicatiecode en gegevens af te dwingen. Zo wordt voorkomen dat een applicatie of Windows-component programmacode uitvoert die een worm of virus in een gedeelte van het geheugen heeft geplaatst dat alleen bestemd is voor gegevens.

Veiliger e-mail.

Beveiligingstechnologieën helpen virussen buiten de deur te houden die zich verspreiden via e-mail en expresberichtenservices (instant messaging) Een voorbeeld van een dergelijk virus is SoBig.F. Deze technologieën omvatten standaardinstellingen die veiliger zijn en bieden verbeterde controle van bijlagen voor Outlook Express en Windows Messenger en betere beveiliging en betrouwbaarheid van Outlook Express. Mogelijk onveilige bijlagen die worden verzonden via e-mail en expresberichten worden apart gehouden zodat ze andere gedeelten van het systeem niet kunnen beschadigen.
Veiliger surfen. Beveiligingstechnologieën die deel uitmaken van Internet Explorer bieden verbeterde beveiliging tegen schadelijke inhoud op internet. Een van de verbeteringen bestaat uit het vergrendelen van de zone van de lokale machine zodat kwaadwillige scripts niet kunnen worden uitgevoerd en geen schadelijke bestanden kunnen worden gedownload van internet. Daarnaast zijn de gebruikerscontrols en -interfaces verbeterd die helpen voorkomen dat kwaadwillige ActiveX®-controls en spyware worden uitgevoerd op systemen van klanten zonder dat zij dit in de gaten hebben of dit expliciet hebben toegestaan.
Microsoft is zich ervan bewust dat beveilgingstechnologieën maar één aspect zijn van een gezonde, allesomvattende beveiligingsstrategie. De beveiligingstechnologieën die hier worden beschreven, maken onderdeel uit van de volgende fase van het Trustworthy Computing-initiatief om systemen van klanten weerbaarder te maken.

Netwerkbeveiliging in SP2

In SP2 heeft Microsoft geïnvesteerd in drie centrale technologieën die systemen minder vatbaar maken voor aanvallen via het netwerk:

Firewall voor Internet-verbinding.

Firewall voor Internet-verbinding (Internet Connection Firewall, ICF) is een ‘stateful’ firewall voor Windows XP en Windows Server 2003. Firewall voor Internet-verbinding biedt beveiliging voor pc’s die zijn aangesloten op een netwerk. Het voorkomt ongevraagde inkomende verbindingen via TCP/IP versie 4 (IPv4). In SP2 wordt Firewall voor Internet-verbinding standaard ingeschakeld en wordt Firewall voor Internet-verbinding eerder in het opstartproces gestart.
RPC-interfacerestrictie. Interfacerestrictie (toegankelijk voor ontwikkelaars via een nieuwe registersleutel met de naam RestrictRemoteClients ) wijzigt het gedrag van alle interfaces voor RPC-oproepen (Remote Procedure Calls) op het systeem en voorkomt standaard alle anonieme externe toegang tot RPC-interfaces op het systeem, enkele uitzonderingen daargelaten. In de praktijk vereist RPC-interfacerestrictie dat alle oproepers worden geverifieerd, waardoor het veel moeilijker is om een interface aan te vallen. Deze methode is vooral een handige afweer tegen ‘paarden van Troje’ die vaak afhankelijk zijn van benutbare buffer-overruns die extern kunnen worden aangeroepen via anonieme verbindingen.
Wijzigingen in DCOM. In SP2 zijn twee wijzigingen aangebracht in het gedrag van DCOM (Distributed Component Object Model). Ten eerste zijn restricties voor de gehele computer ingevoerd die een extra toegangscontrole bieden waarbij elke oproep, activering of startactie van een COM-server op de computer worden gecontroleerd op basis van een toegangslijst (ACL, Access Control List). Ten tweede is een set modulaire COM-machtigingen opgenomen die beheerders de flexibiliteit bieden om het COM-machtigingenbeleid van een computer te regelen.
Opmerking: als u COM alleen gebruikt voor in-process COM-componenten, heeft SP2 geen invloed op de applicatie.

Firewall voor Internet-verbinding in SP2

Firewall voor Internet-verbinding (Internet Connection Firewall, ICF) voor SP2 omvat een keur aan nieuwe voorzieningen. In dit artikel worden vijf nieuwe voorzieningen beschreven die invloed hebben op bestaande applicaties:

Standaard ingeschakeld.

Voorafgaand aan SP2 was Firewall voor Internet-verbinding bij levering van Windows XP standaard uitgeschakeld; gebruikers moesten een wizard uitvoeren of naar de map Netwerkverbindingen gaan om Firewall voor Internet-verbinding in te schakelen. Nu Firewall voor Internet-verbinding standaard is ingeschakeld, is de computer beveiligd tegen veel aanvallen via het netwerk. Als Firewall voor Internet-verbinding standaard was ingeschakeld, zou de laatste Blaster-aanval veel minder schade hebben aangericht. Het had hierbij niet uitgemaakt of gebruikers de laatste patches hadden geïnstalleerd. Dit kan van invloed zijn op bestaande applicaties als de applicatie niet standaard werkt met stateful filtering.
Beveiliging tijdens het opstarten. In eerdere versies van Windows is er een tijdsinterval tussen het starten van de netwerkstack en het inschakelen van Firewall voor Internet-verbinding. Een pakket kon dus worden ontvangen en afgeleverd bij een service zonder dat Firewall voor Internet-verbinding het filterde: een mogelijke zwakke plek. In SP2 heeft het firewall-stuurprogramma een statische regel, een zogenaamd opstarttijdbeleid, om stateful filtering uit te voeren. Zo kan de computer basisnetwerktaken uitvoeren, zoals DNS en DHCP, en communiceren met een domeincontroller om beleidsregels op te vragen. Zodra de firewall-service actief is, wordt het run-time ICF-beleid geladen en toegepast en worden de opstarttijdfilters verwijderd. Deze wijziging geeft betere systeembeveiliging zonder de werking van applicaties te beïnvloeden.

Witte lijst met applicaties.

Voorafgaand aan SP2 moesten applicaties de API’s van Firewall voor Internet-verbinding aanroepen om de benodigde listening ports te openen zodat berichten konden worden verzonden en ontvangen. Dit bleek moeilijk in peer-to-peer situaties waarbij de poort niet van tevoren bekend was. Bovendien was het de verantwoordelijkheid van de applicatie om het gat in de firewall te dichten, wat de mogelijkheid bood tot overbodige openingen in de firewall als de applicatie onverwachts stopte. Bovendien konden deze gaten alleen worden geopend door applicaties die werden uitgevoerd in de beveiligingscontext van een lokale beheerder. In SP2 kan een applicatie die naar het netwerk moet kunnen luisteren, worden toegevoegd aan de witte lijst voor applicaties (Application White List).. Als een applicatie voorkomt op de witte lijst, worden alleen de benodigde poorten geopend en alleen gedurende de tijd dat de applicatie deze gebruikt om te luisteren. Dit voorkomt dat een applicatie een poort opent die niet wordt gebruikt en zo opzettelijk of per ongeluk een andere applicatie of service zichtbaar maakt voor netwerkverkeer via die poort. Bovendien kunnen applicaties die luisteren naar het netwerk op deze manier worden uitgevoerd als normale gebruiker. Applicaties die werken met stateful filtering hoeven niet eerst op de witte lijst te worden geplaatst. Alleen beheerders kunnen een applicatie toevoegen aan de witte lijst.
RPC-ondersteuning. In eerdere versies van Windows, blokkeerde Firewall voor Internet-verbinding RPC-communicatie, waardoor functies zoals het delen van bestanden en printers en extern beheer niet werkten. De oorzaak hiervan was dat de bestandsnaam van het RPC process image hetzelfde was voor veel RPC-servers (svchost.exe). SP2 biedt de mogelijkheid van modulair beheer dat RPC-services kunnen gebruiken om Firewall voor Internet-verbinding te doorkruisen. Wanneer een poort wordt geopend, kan een oproeper beweren dat de poort zal worden gebruikt voor RPC. Firewall voor Internet-verbinding accepteert deze bewering alleen als de oproeper actief is in de beveiligingscontext Lokaal systeem, Netwerkservice of Lokale service. Firewall voor Internet-verbinding ondersteunt een vlag op profielniveau die toestaat dat RPC-poorten worden geopend, zelfs als de oproeper niet voorkomt op de witte lijst voor applicaties: PrivilegedRpcServerPermission . Dankzij de modulaire structuur kunnen beheerders regelen welke RPC-services zichtbaar zijn voor het netwerk, zodat de communicatie kan worden beperkt tot die services die het nodig hebben.
‘Shielded’ modus. Voor het geval een kwaadwillige applicatie een zwakke plek vindt en misbruikt in een van de luisterende Windows-services en een bedreiging vormt voor gebruikers, introduceert SP2 een instelling voor Firewall voor Internet-verbinding met de codenaam ‘shielded’ modus. Met deze modus kunnen gebruikers zichzelf eenvoudig beschermen door Firewall voor Internet-verbinding zo in te stellen dat al het ongewenste inkomende verkeer wordt tegengehouden tot er een patch beschikbaar is, zonder de firewall opnieuw te hoeven configureren. In deze modus kan de computer niet luisteren naar aanvragen die afkomstig zijn van het netwerk. Uitgaande verbindingen zijn de enige verbindingen die kunnen worden gemaakt. Een API-oproep om een statisch gat te openen wordt toegestaan en de configuratie wordt opgeslagen, maar wordt niet toegepast totdat de modus van Firewall voor Internet-verbinding weer wordt ingesteld op de normale modus.