Om Windows 7 og annen teknisk moro

Favoritt rapporten min er ute igjen, SIR volume 7

2009-11-02T18:04:00Z

Og det er vår egen Security Intelligence Report, også kalt SIR. Denne rapporten baseres på info vi får inn via våre MSRT, Forefront porteføljen, Windows Defender, OneCare, MSE nettverk. 450 millioner unike maskiner, altså et veldig godt datagrunnlag. I tillegg benyttes data fra Bing, Hotmail epost scanning (mer enn 300 millioner aktive brukere) og Shadowserver.org (spesifikt for Conficker tracking)

Andre eksterne kilder inkluderer følgende: http://www.first.org/cvss/cvss-guide.html, http://nvd.nist.gov/, http://datalossdb.org, http://www.securityfocus.com, http://www.secunia.com, http://www.securitytracker.com m.fl

Kort oppsummering

Laveste infeksjonsrate har Finland, 1.9 maskiner pr 1000 maskin scannet.
Norge har 3.3 maskiner infisert pr 1000 maskin scannet. 0.4 maskiner for mye til å havne på topp ti lista.
Verdensgjennomsnittet ligger på 8.7 maskiner pr 1000.
Win32/Conficker var den mest utbredte malware på verdensbasis, men kommer ikke på topp 25 lista en gang i Norge. Win32/taterf på andre plass på verdensbasis er heller ikke spesielt synlig i Norge.
I Norge ligger Win32/ZangosearchAssistant på første plass. Denne ligger på 4.plass på verdensbasis

Denne monitorerer nettbruk og viser pop-up reklame relatert til nettsidene som besøkes. Relatert til Hotbar og ZangoShoppingReports.

Nr. 2 i Norge, Win32/Renos, ligger på 3 plass på verdensbasis

Laster ned ulike andre uønskede programmer, deriblant flere falske antivirus.

I Norge generelt er det vesentlig mindre tilstedeværelse av ormer enn resten av verden, men derimot er det signifikant mer av falske antivirus programmer (mine tidligere poster om dette)

Noen vil kanskje også finne det interessant at Taterf er en av ormene som tydeligvis har fått nytt liv. Denne har økt 156% siden sist rapport. Denne stjeler brukernavn og passord til store online rollespill, som igjen brukes for å stjele gull og andre ting fra spilleren. Dette selges da videre.
Phishing er det fortsatt mye av der ute, men i mai og juni eksploderte det, i stor grad pga “kampanjer” som hadde ulike sosiale nettverk som mål/angrepsvektor.
Bildet under syns jeg er veldig interessant, det viser hvor få infeksjoner som er funnet ut av MSRT på nyere OS sammenlignet med eldre. Tallene er pr 1000 av det angitte OS, så hvor mange som kjører det påvirker ikke tallene slik sett. Men selvsagt er det variasjoner her også pga bruksområder for de ulike OS’ene.

Bildet under her igjen viser hva slags hovedkategori sårbarheter som ble benyttet av malware. Både vi og andre, f.eks symantec, har fra lansering av Windows Vista pratet om at angrep og malware i større og større grad rette seg mot applikasjoner, da de nå er enklere mål. Dette syns tydelig i grafen under:

Den samme trenden underbygges i stor grad av grafene under også, som viser tydelig at de fleste spredningsmekanismer via nettleser benytter hull i plugins og ikke selve nettleseren på nyere OS. Det enkleste målet velges selvsagt igjen av angriperene.

(klikk på bildene for å se dem større). De blå søylene viser Microsoft sårbarheter og på Windows XP er det disse det er flest av. Mens på bildet til høyre ser vi samme rapport for Windows Vista og der er det stort sett sårbarheter i plugins som benyttes.

Se hele rapporten og les mer på http://www.microsoft.com/security/portal/Threat/SIR.aspx

And we have lift-off

2009-10-27T08:45:51Z

Windows 7 launch ble gjennomført i Oslo forrige uke, samtidig som våre lanseringspartnere holdt arrangement i Kristiansand, Stavanger, Bergen, Trondeim, Trømso, Bodø og Mo i Rana. Kort rapport følger under.

Det var lagt opp til en helt annerledes agenda enn vanlig, kun 20 minutter taletid for oss i MS og resten av sesjonene var partnere og kunder som delte sine erfaringer. Hvis du har tilbakemeldinger på dette nye opplegget (og var der helst), send gjerne en mail eller kommentar.

Over: Det gikk med relativt mye tid til å få alt på plass og litt ekstra teknisk utstyr måtte inn i siste liten pga mange påmeldte og behov for ekstra skjermer og lyd.

Over/Under: Men det ble jo ganske fint til slutt.

Og fullt ble det i salen til og.

Undertegnede forsøkte seg som konferansier og åpner her kl 12

COO i Norge Espen Gylvik ønsker velkommen.

Og John Henrik Andersen, direktør Windows Commercial, forteller kort om hvorfor Windows 7

Selv syns jeg de beste sesjonene var til slutt, når Oljedirektoratet, Deep Ocean og Sogn og Fjordande fylkeskommune delte sine erfaringer. Referanse sakene på de to andre kommer snart her.

SCCM SP2 klar

2009-10-23T09:21:48Z

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=3318741a-c038-4ab1-852a-e9c13f8a8140

Fått så mye spørsmål etter denne at den fortjener en egen blogpost, om enn kort. Dette er oppdateringen mange har ventet på for full Winodws 7 støtte.

Endelig!!

2009-10-21T12:25:48Z

Har jobba mye en stund nå med Windows 7 lanseringen og spesielt de to siste ukene, har dessverre godt litt utover blogginga også.

MEN IMORGEN lanserer vi Windows 7 for alt og alle! Det hele skjer med et seminar mellom kl 12 og 16 imorgen i Oslo, pluss i 7 andre byer, der det blir holdt av partnerne våre. Her blir det ca 30 minutter taletid for Microsoft, deretter er det kun partnere og kunder som forteller om sine windows 7 erfaringer. Det er mange som er godt i gang allerede. Og på kvelden holder consumer gjengen fest.

Oslo seminaret er fullt og vi har måttet øke stol og matbestillingen:) Hvis du er i en av de andre byene under kan du sjekke linkene til seminarene lanseringspartnerne våre har:

Bergen
Stavanger
Trondheim
Kristiansand
Nord-Norge (Mo i Rana, Bodø, Tromsø)

Lyst til å lese mer om Windows 7, teknisk, mens det blir dårlig med blogginga fra meg. Sjekk denne bra artikkelen om DX 11.

På twitter er det også langt flere oppdateringer fra meg om dagen. Og hvis du vil følge med på all verdens interessant innhold rundt Windows 7 nå, test www.collecta.com for real-time søk. Lag deg et søk på “windows 7” og det detter inn nye ting hele tiden nå.

"The launch of Windows 7 has superseded everyone's expectations, storming ahead of Harry Potter and the Deathly Hallows as the biggest grossing pre-order product of all-time at Amazon.co.uk, and demand is still going strong," says Brian McBride, Amazon UK MD

Jobber også for å bli ferdig med white-paperet mitt om å håndtere applikasjons kompatibilitet, tatt litt tid fra bloggen det og. Håper å bli ferdig i løpet av helgen (må fo proofing tools til å funke med den utgaven av Office 2010 jeg kjører… noe å glede seg til der og!)

Kom med innspill på annen informasjon fra oss som ville gjort det enklere for dere å ta i bruk nytt OS. bruker kommentarfelt eller Contact link.

Same old, same old. VA 2.0

2009-10-18T11:47:23Z

Får veldig mye spørsmål både direkte og via kollegaer og kundeservice om dagen rundt Volume Activation 2.0. Det samme skjedde når Windows Vista ble lansert, men nå er det jo enda flere som er i gang med Windows 7.

Derfor på tide å gjenta dette:

Alle Windows 7 klienter må aktiveres, også Volume utgaver
Dette kan gjøres med en MAK nøkkel direkte på klienten og at denne aktiverer seg mot våre servere
Eller det kan gjøres med en sentral tjeneste der KMS nøkkelen installeres. Klientene vil da aktivere seg mot denne serveren internt og kun KMS servere må aktiveres en gang mot våre servere.

KMS nøkkelen skal IKKE benytte direkte på vanlige klienter. Den kan aktiveres svært få ganger.
KMS servere kan også aktivere servere. 25 klienter eller 5 servere trengs aktive før aktivering kan gjennomføres.

Det var superkortversjonen, det finnes litt flere alternativer og muligheter rundt hvordan man setter opp dette. Mine blogposter rundt VA 2.0 og vista gjelder fortsatt for Windows 7. Sjekk dem ut her.

Ta også en kikk på brosjyra vi laget om dette sist, mens vi jobber med en oppdatert norsk utgave.

Utover dette finnes det massevis av engelsk info om emnet på Technet.

Makeover av bloggen

2009-10-02T11:00:06Z

Nå har bloggen sett lik ut i nesten tre år, var på tide å friske den opp litt. Blogsystemet vårt består jo av en rekke stilmaler og så kan man manuelt overkjøre en og en stil etterpå. Ikke helt optimalt, men fikk da endret det jeg ville på denne stilen til slutt.

Målet var nytt og lysere grafisk oppsett, tydelig Windows og oversiktelig nok tag cloud, lett tilgjengelig søk. Vi har nå forøvrig fått satt opp Bing søk i blogløsningen vår også.

Merker at det begynner å bli noen år siden jeg kunne webutvikling. Kom gjerne med kommentarer i kommentar felt, epost/(kontakt link) eller twitter.

Opplæring av brukere på ny plattform (white paper)

2009-09-26T13:44:00Z

Det siste halve året har dette vært en diskusjon som dukker opp oftere og oftere, i det siste oftere enn diskusjoner rundt hvordan man best deployer teknisk. Oppskriften der er jo lett :) MDT+SCCM|WDS+Win7. På bruker opplæring er oppskriften faktisk langt vanskeligere og har et større behov for tilpasning fra bedrift til bedrift og ikke minst internt til ulike brukergrupper/demografiske grupper.

Så, jeg har oppsummert en del av aspektene vi diskuterer i disse møtene i et kort white paper, 8 sider ble det vel. Her finner du tanker om innfallsvinkel, mulige måter å drive opplæring på, samt ressurser for dette (windows 7 + Office) og eksempler.

Last ned fra Skydrive her

Passer jo bra i denne sammenheng å vise sitatet fra Crayon sin referanse sak om Windows 7 utrulling også:

Solid State Disker og Windows 7

2009-09-22T09:42:00Z

Kort post om hvordan Windows 7 er tilpasset dagens SSD’er. Disse blir jo både mer populære og billigere, ikke minst fordi det loves bedre respons, lengre batterilevetid, raskere oppstart og mindre støy.

Kjapt om SSD

Random reads. Dette er SSD diskens store fortrinn ytelsesmessig. I motsetning til ordinære plate disker er det jo her ikke noe mekanikk som må flyttes rundt på disken.
Seqential reads & writes. Flere av dagens SSD disker er blitt veldige gode på dette også, på reads er noen av dem dobbelt så kjappe som en bra 7200 RPMs. Når det gjelder writes er variasjonen stor, noen SSD’er er kjappere enn ordinære HD’er, mens andre fortsatt ligger langt etter.
Random writes & Flushes. Dette er området disker har slitt med lenge og mye av grunnen til at de utstyres med cache, de fleste disker klarer nemlig ikke akseptable tider ved direkte skriving til plata. Og problemet kan du fortsatt merke godt med SSD’er, men dette varierer også mye. Faktisk er random writes & flushes vanskeligere å løse optimalt med SSD enn ordinære disker. (les mer her om du er interessert)

Windows 7 forbedringer

SSD består av flash blokker og celler. Disse trenger man faktisk å slette innholdet på før noe nytt kan skrives til dem. Dette er eneste måten å være sikre på at cellene er 100% tomme og at dataene vil bli lagret riktig. Windows 7 støtter Trim kommandoen i ATA protokollen og vil benytte dette med disker som sier de støtter det. Dette medfører at disken får beskjed om filer som slettes og at tilhørende celler også kan slettes. Dette gjør at disken kan planlegge dette på forhånd og at ikke en write til et område også vil kreve en erase først og dermed gå treigere. Trim kommandoen er også integrert med partisjons og volum kommandoer som format og delete. Dette er også med å øke levetiden på cellene.
Windows 7 vil slå av defragmentering på SSD disker og disker med bedre enn 8 MB/s random reads.
På SSD disker med god nok random reads og writes/flushes vil Superfetch, Readyboost og boot prefetching bli skrudd av.
Bitlocker vil også etter første kryptering sende en Trim kommando til SSD’er for at de skal få optimalisert cellene på disken igjen etter kryptering.
Det er også innebygget flere tester for å score disker på de nødvendige lese og skrive parameterne.

Et spørsmål som ofte dukker opp er hvorvidt man burde plassere pagefila på en SSD eller ikke?

Svaret er ja, de fleste operasjonene mot denne fila er random reads eller større seksvensielle writes som støttes godt.

Hibernate fila derimot skrives og leses i store sekvensielle biter og kan derfor plasseres på en ordinær Hd eller en SSD.

(fått sånt ergonomisk tastatur…ganske vanskelig å venne seg til…)

MDOP 2009 R2 (ute seint i Oktober)

2009-09-18T07:10:00Z

I stor grad dreier dette seg om Windows 7 støtte for Windows 7 i alle komponenter, minus Med-v. For Server og management delene dreier den nye støtten seg om Windows Server 2008 R2.

Med-V støtte for Windows 7 er planlagt i SP1 for dette produktet og denne blir lansert en gang i Q1 2010.

Andre ting som er med i R2 oppdateringen:

AppLocker støtte for App-v, noe som gjør at app-v klienten vil overholde group policyen som er satt for Applocker.
Advanced group policy management (AGPM) vil støtte cross-forest management av group policy objekter.
AGPM får også bedre søk og filtreringsfunksjonalitet, igjen for å gjøre det lettere å håndtere et større antall policies.
Desktop Error Monitoring får nye Top rapporter, f-eks Top system errors.

mer info om MDOP hvis du ikke har fått med deg denne pakka før:

http://www.microsoft.com/windows/enterprise/products/mdop/default.aspx

AutoRun endringer i Windows 7

2009-09-16T18:11:00Z

Det ble gjort noen endringer for å i større grad motvirke dette som spredningsmekanisme for virus.

Først, forskjellen på to begreper som mange blander:

- AutoRun: Funksjonen som starter et program fra en type media som blir tilkoblet pc’en.

- AutoPlay: Dette er funksjonen som gjør at et spesielt program på maskinen kan startes når man putter inn media med en spesiell type innhold. F. eks media player når man putter inn en Video DVD. Autoplay parser også autorun.inf fila og viser muligheter her fra i AutoPlay menyen.

Endringer

Autoplay vil ikke lenger vise muligheten til å kjøre det som autorun.inf foreslår for ikke-optiske media. På bildene over ser du at Autorun er slått av, men det som er definert i autorun.inf vises i menyen (rød firkant). Grønn firkant er det vanlige trygge valget å se på filene, autorun.inf valget over ser for den vanlige bruker helt likt ut, men vil starte en fil og infisere maskinen. I Windows 7 blir ikke dette trikset for å lure brukeren mulig, menyen til høyre viser kun trygge valg.
Dialogene til AutoPlay vil eksplisitt fortelle om og gruppere valg som faktisk kjører fra media og ikke lokal pc. Bildene under viser denne forskjellen. Merk at på Windows 7 dialogen til høyre må en optisk stasjon benyttes for å i det hele tatt få opp valget om “Run setup.exe”

(Enkelte USB’er vil kunne opptre som cd/DVD stasjon ovenfor OS’et og dette vil gjøre at de kommer rundt)

XP, Server 2003 og Vista

En god nyhet jeg nettopp kom over er at dette er blitt “back porta” til XP Sp3 og Windows Vista. Les mer og last ned her:

http://support.microsoft.com/kb/971029

Botnet trender

2009-09-14T11:30:00Z

Lenge siden jeg har kikka på botnets nå, på tide igjen nå, er jo en av “favorittene” mine innen ondsinnet kode.

Tidligere poster med intro til Botnets her.

Grafen er hentet fra Shadowserver.org, en gruppe som overvåker en rekke botnets. Tallen på Y aksen er antallet aktive C&C servere, ikke antall bots.

Botnet kontroll

Botnets begynte jo med enkel kontroll via IRC, som siden ble langt mer avansert og ikke minst automatisert. Dette ble etterhvert, og er i en del tilfeller fortsatt, botnets store svakhet. Ved å overvåke trafikk og se etter uventet IRC trafikk kunne de spores og ikke minst stoppes ved å blokkere IRC serveren de koblet seg til (Command and & Control server). Botene ble videreutviklet til å ha alternative C&C servere, failback løsninger og i siste instans bakdører eieren kunne bruke til å få kontroll igjen. Det neste skrittet var å gå vekk fra IRC og over til peer-to-peer baserte systemer. Disse er som kjent langt mindre sårbare og vanskeligere å ta ut. Det gir også et behov for mer komplekse boter og vedlikehold.

Nylig ble det observert bot’er som fikk kommandoer via RSS feeds, som igjen kom fra Twitter. Den nå stengte Twitter kontoen ble brukt til å poste linker til kommandoer eller filer som skulle lastes ned og utvide/oppdatere boten.

Twitter feeden til høyre inneholder base64 kodede strenger som igjen referer til linker. Disse viser igjen videre til filer eller kommandoer.

Hos flere andre micro blogging tjenester er det funnet lignende kontoer og kommandoer/henvisninger som blir sendt ut.

Waledac botnet’et (oppdaget Dec 2008)

Dette nettverket har vært aktivt med å sende spam siden det ble oppdaget. Benyttes ofte til å utføre social engeenering i forbindelse med større hendelser i verden, som mange er klar over pga pressedekning osv. Nettet har også en avansert funksjonalitet for å oppdatere både seg selv og spam’en som sendes ut, ofte oppdateres botkoden 2 ganger om dagen, i perioder enda oftere. Mye av Viagra og lignende spam du har fått siste året har kommet fra dette nettet.

I tillegg til spam laster ofte bot’en ned falsk antivirus programvare, som er ganske plagsom og varsler brukeren enormt mye. Den etterligner også Windows Security center. Tanken bak det hele er å få brukeren til å klikke på linken for å kjøpe fullversjon av “antivirus” programmet og løse alle disse sikkerhets”problemene”. til kun $49,95.

Nettet krypterer trafikken sin og er relativt dynamisk i sin utforming og flytter for eksempel rundt på hvilke noder som skal gjøre hvilke oppgaver. En node kan for eksempel opptre som Spam utsender, mens andre kun er kommando proxier.

Som Storm benytter dette nettet P2P kommunikasjon, men over HTTP. Koding av meldinger gjøres med en kompleks variasjon av RSA, AES, Bzip2 komprimering og base64 encoding og en xml basert meldingsstruktur. Protokollen de har laget seg omtales som HTTP2P, der RSA antagelig benyttes til session keys mellom noder og servere, mens AES er bekreftet brukt til å kryptere trafikk mellom nodene. Hver node har også sitt eget hardkodede sertifikat.

Nettet benytter seg også av såkalt Fast flux, TTL på oppslag satt til 0 og DNS servere flytter ofte rundt til andre noder.

Mye av meldingstypene og kommandostrukturen har blitt gjennomskuet av ulike sikkerhetsfirmaer, men ikke alt er kartlagt ennå. Botnet’et går også ganske langt i forsøke å gjemme kommandoer som lett vil avsløre dem, f.eks oppdatering av seg selv eller installering av ny malware kode. Ved flere anledninger skjedde dette gjennom krypterte exe filer embedded i jpg filer bot’en fikk beskjed om å laste ned.

Pushdo / Cutwail (oppdaget 2007)

Et ikke like kjent nett, men det er antagelig nr to på lista over spamnet, med over 7,7 milliarder epost hver dag. Den bidrar også i stor grad til å spre annen malware. Dette gjør forsåvidt at malware alarmen ofte går på nodene, men kun den ordinære malwaren oppdages ofte, Pushdo komponentene operer nesten utelukkende i minnet, uten å skrives til disk under kjøring av OS’et (men koden må selvsagt lastes fra disk på et tidspunkt). Spam komponenten som lastes ned kalles Cutwail.

Det ser ikke ut til at nodene selv sørger for å spre seg videre, som for eksempel enkelte Storm noder hadde til oppgave. Koden derimot blir ofte endret og komponenter lagt til. Ifølge enkelte rapporter tyder ting på at Botnet eierne har avtaler med andre nett om å spre Pushdo. For eksemepl har vårt Malware Protection Center observert downloadern Win32/Bredolab brukt som spredningsmekanisme for en rekke annen malware, inkludert Cutwail/Pushdo. (Bredolab er akkurat lagt til i MS Removal Toolkit du får via Windows Update om du har valgt det)

Det virker mer som et generelt verktøy til ulik kriminell virksomhet enn et spesialisert nett. Dette underbygges også av at kontaktinfo for å benytte seg av nettets tjenester er relativt lett tilgjengelig. Forøvrig oppga de å ha tilgang på rundt 1 million norske epost adresser og spam til alle disse kostet 3000 rubler. Med dagens kurs ca 670 kr. (interessant nok er de villige til å gi en ordentlig kvittering så man kan få utgiften ført ordentlig i regnskapet. I Russland er jo ikke lovene rundt dette like strenge)

En egen downloader modul besørger nedlastning ny kode og henter info om dette fra en av en rekke servere, alle fra ulike leverandører på/med ulike ASN. Pushdo laster også ned en egen kernel driver som settes opp til å lastes tidlig, også om Safe Mode benyttes. Dette gjør den for å sikre seg mot deteksjon og at den alltid er installert og kjørende. Den vil blant annet sørge for at endring av dens egne registry settinger ikke fungerer og at den alltid har sin egen kode injected i services.exe når en instans av denne startes.

“Kampanje” modulen kan installere annen malware, for eksempel Popup reklame. Modulen kan da sørge for at dette skjer, men også at tidligere installert malware fjernes samtidig.

Kilder

http://asert.arbornetworks.com/2009/08/twitter-based-botnet-command-channel/

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/infiltrating_the_waledac_botnet_v2.pdf

http://us.trendmicro.com/imperia/md/content/us/pdf/threats/securitylibrary/study_of_pushdo.pdf

http://www.microsoft.com/security/portal/Threat/SIR.aspx

http://www.shadowserver.org/wiki/pmwiki.php/Calendar/20081231

MDT 2010 klar for nedlastning

2009-09-09T20:18:37Z

http://microsoft.com/mdt

Download her

Deployment points og distribution shares kombineres til et share. Disse kan være på en lokal disk, shared folder, dfs.
Bedre management av deployment shares, styr dem fra enhver pc med workbench installert. Gitt at du har nok rettigheter på share
Cut, paste, drag, drop støtte i deployment workbench..
Bedret støtte for å lage fysiske installasjonsmedia
Støtte for Powershell til automatisering
Støtte for å refreshe installasjoner av Windows 7 som er bitlocker kryptert uten å måtte dekryptere først (eller renske disk)
Støtte for Windows 7
Støtte for Windows Server 2008 R2
Støtte for SCCM SP2 (beta nå)
USMT 4.0 støtte

What’s new dokument

Windows 7 bootcamp på Norefjell

2009-09-07T15:31:59Z

Bootcampen vår, trening av konsulenter på windows 7 og Windows server 2008 R2 er i full gang på Norefjell nå. Det er nok ikke så hardt som ordet bootcamp kan tyde på, vi er riktignok oppå fjellet, men bor på det nye Quality Spa hotellet. Kan anbefales.

Vi fikk med nesten alle på bildet. Som du ser er vi ganske mange og delt førsteplass for flest deltagere går til Umoe og Atea.

UAC i Windows 7

2009-09-03T23:19:03Z

UAC, User Account Control, er fortsatt med i Windows 7. Denne grunnleggende OS funksjonaliteten ble innført i Windows Vista og adresserer direkte sikkerhetsutfordringen med at altfor mange brukere kjører som Lokal Administrator til enhver tid (80% av forretningsbrukere og 97% av hjemmebrukere). Dette har for eksempel gjort det langt lettere for virus, bots osv å spre seg. For mer generelt rundt UAC, se tidligere poster.

Endringer i Windows 7 UAC

Auto elevation er noe helt nytt. I praksis betyr det at du får færre UAC prompts fordi windows exe filer eleveres automatisk. Dette fungerer på følgende måte:

Binær filen må være signert av Microsoft og med Windows sertifikatet. Dette benyttes til å signere all kode som sjekkes inn i Windows OS’et. Auto elevering vil derfor ikke omfatte andre Microsoft programmer.
Binær filen må også ligge i en sikker katalog, et sted standard brukere ikke har skrive-rettigheter. Dette inkluderer følgende kataloger: %SystemRoot%\System32 og de fleste underkataloger, %SystemRoot%\Ehome, og enkelte kataloger under %ProgramFiles%
Exe filen må ha satt auto-elevate elementet i manifestet sitt.
Det finnes enkelte filer som er hardkodet for å skulle auto-eleveres uten å ha det i manifestet, fordi de må kjøre på eldre OS også, og der ville autoelevate elementet medført en feil. Blant annet migwiz.exe, pkgmgr.exe og spinstall.exe
MMC får også spesialbehandling. Der sjekkes også plugins om hvorvidt de oppfyller kravene til auto elevering. Dette selvsagt for at man ikke skal kunne autoelevere egne programmer ved å lage de som mmc plugins.
Tilsvarende for cmd.exe og rundll32.exe, disse kan brukes til å eksevere annen kode/programmer og det kan lett gjøres fra kommandolinja. Derfor er disse to ikke kompilert med Autoelevate elementet.

Vi har fått masse spørsmål om å legge inn muligheter for å ha en white-list over applikasjoner som kan autoeleveres. Det har vi ikke sett at er mulig å gjøre på en god nok måte, derfor er det heller ikke med. En slik liste ville åpnet for mange angrepsvektorer og ikke minst virket mot et av våre mål: få utviklere til å skrive programmene slik at de ikke trenger administrative rettigheter.

Utover dette er det også lagt enda mer vekt på hvilke oppgaver som faktisk bør kreve admin rettigheter og ikke. Det er også 4 nivåer å velge i nå:

Det øverste nivået er det samme som på Vista.
Nivået under gjør at Windows 7 vil bruke Autoelevation som beskrevet over
Nivået nest nederst er det samme som over, men uten Secure Desktop.
Den nederste slår av UAC helt, inkludert tilhørende elementer som fil system og registry virtualisering og Protected Mode i IE 8.

Default innstilling er vist i bildet, nivå 3.

Angrepsvektorer

Vi vet at malware og annen programvare vil bli utviklet spesielt for å komme seg rundt UAC og det finnes en rekke måter å gjøre dette på faktisk. Men, det vil kreve aktiv utvikling med dette i tankene. UAC er sånn sett med å redusere risikoen for angrep, men kan ikke regnes som en såkalt “security boundary”.

Følgende måter forventer vi vil bli brukt til å komme rundt UAC:

Social engeenering. god gammeldags metode, lur brukeren til å elevere.
DLL injection. Benytte seg av auto elevering av andre applikasjoner og WriteProcessMemory API til å skrive kode til disse prosessenes minne. Deretter brukte CreateRemoteThread API til å eksekvere denne.
Applikasjonsspesifikke angrep. Både utnytte applikasjoner som må kjøres elevert, så vel som å bruke applikasjonen som “dekke” for å lure brukeren til å elevere. Antageligvis gjennom sårbarheter i applikasjonen eller injection.
Ikke minst vil det nok komme mer malware som er UAC aware på den måten at de også utvikler for standard brukere. Dette begrenser noe hva man kan gjøre, med de vil jo ha tilgang til alle brukerens data og kan gjemme seg for brukeren. ref user-mode rootkits.

Windows 7 på netbook, enkel testing

2009-08-30T21:30:20Z

Bruker en Acer Aspire One, 751h for å være nøyaktig, med Windows 7 Enterprise nå. Begynte prosjektet med å installere standard image fra MS IT over nettverk, ble positivt overraska over at også den lille boksen støttet PXE booting.

Den er basert på en Intel Atom z520 CPU på 1,33GHz. Det i seg selv snurrer jo godt nok rundt til enkel bruk. Den ble derimot bare levert med 1 Gb minne, men tar jo ikke mange minuttene (eller kronene) å oppdatere til 2Gb, som er maks av hva den støtter. Det hjalp betraktelig på ytelsen naturlig nok.

Nå butter det stort sett i treig disk, en standard Seagate 5400 160Gb som følger med. Vurderer å bytte denne til en SSD, også for å øke batteritiden enda mer, selv om det faktisk er nettopp batteritiden som imponerer mest pr nå.

Ytelse

For å hente litt mer ytelse har jeg skrudd av mye av animasjonen i forbindelse med vinduer og menyer, transparente vinduer og System Protection. Fortsatt ikke helt fornøyd med ytelsen, må nok prøve å tune litt mer, samt forsøke et readyboost kort i minnekortlesern.

Størrelse

Min vanlige jobb maskiner er en 14,4” og Aspire One er 11,6”. Har tidligere testet både 9” og 10”, noe jeg syns blir litt lite, i alle fall rundt 9. 11,6” syns jeg er ganske mye behageligere, tastaturet funker selv for mine store fingre, men maskinen er fortsatt liten og lett.

Konklusjon

Acer Aspire One D751H: Absolutt en bra maskin, men den er jo heller ikke av de billigste netbookene. Jeg syns den krever en liten ekstra investering for å få ytelsen på topp, 1Gb minne er for lite og disken bør byttes. Batterikapasiteten imponerer stort, noe som passer godt sammen med mine bruksområder for den, alt fra på sofaen til å være “notatblokk” på lange konferansedager.

Maskina er lett og støyer lite, blir ikke veldig varm selv når den jobber hardt, har et tastatur det går an å skrive lengre tekster på og en skjerm som er lyssterk nok til utebruk.

Windows 7 ser også ut til å klare seg godt på denne maskinvaren, inkludert fullt Aero grensesnitt om ønskelig. Litt utfordringer på driverfronten, men det meste lar seg løse. Derimot ikke helt overbevist om at alle drivere er helt optimale.