Månedens artikkel: Sikkerhet i Windows Vista - Ragnar Harper
Forfatter: Ragnar Harper (e-post: ragnar AT harper.no)
Ragnar Harper er grunder av og teknisk leder i Harper Security Consulting as, et firma med fokus på sikkerhet på Microsoft plattform.
Ragnar har jobbet med rådgiving og konsulentarbeid innen sikkerhet i offentlige og private bedrifter. Ragnar deltar aktivt på TechEd i USA og Europa, både som ekspert rådgiver og veileder. Han har holdt foredrag på konferanser som HackCon og MANUS, i tillegg til flere ganger på Microsoft arrangement.
Ragnar er også medlem av Microsofts Speaker Commmunity.
Speaker Community består av en håndfull medlemmer med toppkompetanse innen en rekke Microsoft løsninger. Speaker Communitys primære fokus er teknisk rådgivning og de er viktige bidragsytere på en rekke norske Microsoft arrangementer som foredragsholdere.
Du finner Ragnars blogg på www.harper.no/ragnar, og Microsofts norske Technet sider på www.microsoft.no/technet
Sikkerhet i Windows Vista
En av de viktigste grunnene til å vurdere Windows Vista er forbedringene knyttet til sikkerhet. I denne artikkelen vil jeg gi deg et innblikk i hva disse forbedringene består av. Med Internett har utfordringene innen sikkerhet endret seg kraftig, og Microsoft har siden 2002 tatt et grundig oppgjør med hvordan de håndterer sikkerheten. Gjennom Trustworthy Computing Initiative og Secure Development Lifecycle (SDL) har Microsoft endret hvordan de designer, utvikler og supporterer sine produkter.
Windows Vista er det første klientoperativsystemet fra Microsoft som har blitt utviklet fra start til slutt med denne tilnærmingen.
I 2002 gikk enkelte ut og advarte mot bruk av Microsoft programvare, og de samme fremholder idag Microsoft som best innen sikkerhet.
Med Windows Vista er forbedringene til å ta og føle på. Denne artikkelen vil forsøke å gi deg et overblikk over disse nyhetene.
Sikrere services
Vista introduserer ”restricted services”, et konsept som sikrer at tjenester kjører med minst mulig rettigheter. Dette betyr at selv om tjenester skulle bli angrepet, og ha et hull, er det begrenset med hva de kan utføre på brukerens maskin. Dette virker sammen med den nye Windows Firewall slik at tjenestene låses til hvilke porter de benytter, samt hvilke protokoller. Nå kan også tjenestene identifiseres unikt, og benyttes i access controll lists (acl). Det betyr at tjenestene kun kan skrive/lese til spesifikke steder i filsystemet og registry. Et eksempel er Remote Procedure Call tjenesten som ikke har adgang til å erstatte systemfiler, endre registry eller endre på systemkonfigurasjonen.
Restricted Services ville for eksempel ha begrenset skadene til Slammer, Blaster og Sasser.
Address Space Layout Randomization
Hver gang en Windows Vista maskin starter opp vil den velge et tilfeldig sted i minnet for lasting av kjørbare filer. Dette gjør det vanskeligere for ondsinnet kode å finne funksjonaliteten, og dermed kunne starte og utføre den. Address Space Layout Randomization (ASLR) fungerer effektivt sammen med Data Execution Protection, og har som mål å gjøre det vanskelig å forutsi hvor funksjonaliteten til operativsystemet finnes i minnet.
Bedre sikkerhet med x64 bit systemer
Med x64 bits versjonen av Vista får du to store sikkerhetsfordeler, Kernel Patch Protection og Mandatory Kernel Module and Driver Signing. Kernel Patch Protection, også kjent som PatchGuard, tillater ikke uautoriserte endringer av Windows kjernen. I tillegg til å motvirke ondsinnede forsøk på å påvirke Windows kjernen, stopper dette også uautoriserte endringer i kjernen fra andre programvare leverandører. Mandatory Kernel Module and Driver Signing fungerer så enkelt som at det krever at alle drivere som skal benyttes i kernel modus på systemet er signerte. Hvis en driver som ikke er signert forsøkes lastet inn i kernel området, vil den feile.
Sikker tilgang
Det er en kjent sak at mange av dagens brukere kjører som lokal administrator, som regel av praktiske grunner da enkelte applikasjoner ikke fungerer uten at brukeren er administrator, eller for at brukeren skal være istand til å installere det han selv ønsker. Det er også en kjent sak at dette er et stor sikkerhetsmessig problem, som man lenge har ønsket å gjøre noe med.
I Windows Vista er den lokale administrator kontoen deaktivert på nye installasjoner. På oppgraderinger vil den innebygde administrator kontoen deaktiveres hvis det finnes andre lokale administrator kontoer. Hvis maskina ikke er medlem i et domene og det finnes flere lokale administrator kontoer er det heller ikke mulig å logge på med administrator kontoen i sikkermodus. På maskiner som er medlem i domenet får ikke lokal administrator logget på i sikkermodus uansett, ettersom at en domeneadministrator kan logge på og opprette en lokal administrator konto ved behov.
Windows Vista kommer med User Account Control (UAC), som skiller standard brukeradgang fra de som krever administrative rettigheter.
Fordelene med dette er todelt
1. Gir standard bruker adgang til å utføre basisoperasjoner som tidligere krevde administrator rettigheter. Eksempler på dette er installering av skriver, endring av tidssone eller strømstyring. Standarbrukere som prøver å utføre en oppgave som trenger administrative rettigheter blir bedt om å oppgi en konto med administrator rettigheter. (Dette kan styres via policy slik at man ikke blir bedt om å oppgi administratorkonto)
2. Brukerkontoer med administrative rettigheter blir tryggere i bruk – krever en godkjenning for å utføre administrative oppgaver.
Standardinnstillingene i Windows Vista kjører i det som heter Administrator Approval Mode. Dette medfører at applikasjonene vil kjøre som standard bruker, selv om du er pålogget med en administrator konto. Hvis en prøver å utføre en handling som krever administrator rettigheter vil man måtte bekrefte dette gjennom en dialogboks. Det er også mulig å konfigurere systemet slik at man må inn med passordet på nytt i slike tilfeller.
En annen egenskap som hjelper oss mot at alle brukerne trenger å være lokal administrator er fil og registry virtualisering. Dette fungerer ved at skriving (og lesing) fra beskyttede områder blir omdirigert til brukerens profil.
I en verden hvor tilgjengligheten til systemene stadig blir utvidet, settes det strengere og strengere krav til autentisering. For mange innebærer dette flerfaktor autentisering, gjerne med engangspassord , biometri eller smartkort. For å møte dette behovet har Microsoft utviklet en ny påloggingsarkitektur. Brukernavn og passord støttes selvsagt fortsatt, men støtten for smartkort et betydelig forbedret. Det er ingen tvil om at smartkort et Microsoft’s prefererte form for sterk autentisering.
En annen gledelig nyhet er støtten for helsesjekk av klientene før de kommer inn på nettverket. Windows Vista leverer klientsiden av en slik løsning, som lar deg definere hvilke krav en klient må møte før den blir tillatt inn på nettverket. Dette kan være krav til patcher som må være installert, oppdatert antivirus, brannmur slått på og lignende.
Beskyttelse mot ondsinnet kode
Starter du Kontroll panelet vil du se at det er kraftig endret. Du finner sikkerhet som en egen seksjon. I tillegg til snarveier der for oppdateringer og brannmur, kommer du til flere valg ved å trykke på Security .
Herfra kan du starte Windows Security Center, Windows Firewall, Windows Update, Windows Defender, Internet Options og BitLocker Drive Encryption. Under hver av disse alternativene ligger det linker til de mest benyttede funksjonene, men ved å klikke på selve tittelen kan man konfiguere og utføre alle operasjonene som er tilgjenglig.
Windows Security Center
Windows Security Center gir et raskt overblikk over sikkerhetsstatusen til systemet. Det ble introdusert i Windows XP Service pack 2, men er i Vista utvidet til også å inbeholde Malware IProtection status (antivirus samt spionprogramvare). I tillegg er det en ny seksjon for Other Security Settings, som sjekker instillingene dine for Internett og User Account Protection. Kjører du Internet Explorer uten Protected Mode, eller du har deaktivert User Account Protection vil denne varsle deg om at det ikke er ok. Det er også greit å merke seg at denne oppsummeringen av sikkerhetstatus ikke kommer opp hvis maskinen er medlem i et domene.
Windows Defender
Windows Vista kommer nå med beskyttelse mot spionprogramvare. De fleste har støtt på spionprogrammer, da de ofte henger seg på programmer som en bruker vil ha installert. Dette produktet het tidligere Microsoft Antispyware, før det endret navn til Windows Defender. Windows Defender beskytter deg på to måter, skanning og real-time beskyttelse. Du kan utføre skanning på to måter, quick og full. En quick scan leter kun i de områdene av systemet hvor spionprogramvare mest sannsynlig blir funnet, og er som regel ferdig iløpet av noen minutter. En full scan leter i systemminne, alle prosesser som kjøres og gjennom alle mappene på systemstasjonen. Dette kan fort ta mer enn 30 minutter å fullføre. I tillegg har du mulighet til å kjøre scan på utvalgte mapper. I en standard installasjon av Vista er systemet satt opp til å gjennomføre en quick scan hver natt kl 0200.
I Windows Defender har du også mulighet til å få enkelt oversikt over hvilke applikasjoner som starter ved oppstart (Startup Programs), hvilke som kjører akkurat nå (Currently Running Programs), hvilke av disse som har nettverksforbindelser (network connected programs) og hvilke som tilbyr Winsock tjenester.
Hvis du ønsker å ha enkel tilgang til Windows Defender kan du fra Tools- options slå på at den alltid skal ligge synlig i Taskbar.
Windows Firewall
Idag er det utenkelig å kjøre en PC uten brannmur. Denn oppdaterte versjonen av Windows Firewall er en fullblods brannmur, med kontroll både på inngående og utgående trafikk. I tillegg byr den på profiler, som gjør at du kan ha ulike regler basert på hvilket nett du er tilkoblet. De tre profilene som leveres er Domain, Private og Public. En nyhet mange vil sette pris på er at IPSec er integrert med brannmuren.
I det nye management consolet kan man konfigurere brannmuren samt få oversikt over brannmurens status.. Herfra kan du starte veivisere som veileder deg gjennom prosessen med å opprette regler. I tillegg til veivisere for å opprette brannmur regler kan man også opprette IPSec regler og få oversikt over IPSec forbindelser fra dette grensesnittet. Knytningen mellom IPSec og brannmur er god, og det gir deg enedelig et enklere sted å administrere IPSec fra.
Du har også tilgang til et enkelt administrasjonsgrensesnitt fra kontrollpanelet. Herfra kan du slå brannmur av og på, legge inn regler og styre hvilke nettverksforbindelser brannmuren skal kontrollere. Dette er et enklere grensesnitt enn du får via management consolet, og er beregnet på brukere med mindre kunnskap om brannmurer.
Oppsummert kan vi si at nyhetene i Windows Firewall er:
Støtte for IPSec
Støtte for miljøer som kun kjører IP v6
Regler for både inngående og utgående trafikk
Regler kan defineres på brukere og maskiner
Regler kan defineres på flere protokoller enn kun TCP og UDP
Regler kan knyttes både til lokale porter og remote porter
Regler kan knyttes til grensesnittet som benyttes, slik som trådløst, vpn eller kablet lan.
Avansert Microsoft Management Console snap-in.
Som du ser er listen lang, og det gjør Windows Firewall til en vesentlig mer avansert brannmur enn tidligere versjoner.
Beskyttelse av data
Dagens mobilitet stiller strengere krav til beskyttelse av data enn noen gang. Et stort problem er alle mobile enheter som kommer på avveie, for eksempel bærbare PC’er som blir stjålet. Vista leverer forbedringer på flere nivåer, med integrert Rights Management klient, forbedringer i Encryption File System (EFS) og den helt nye BitLocker funksjonaliteten. EFS har nå muligheten til å lagre nøklene på smartkort, noe som gir bedre beskyttelse av nøklene. Den innebygde rights management klienten lar deg kontrollere adgang til dokumenter og epost, og hva som tillates utført med innholdet.
BitLocker
BitLocker tilbyr full kryptering av systemvolumet, inkludert systemfiler og hiberneringsfila. Dette betyr at man ikke lenger kan installere et operativsystem på siden av det gamle, og hente ut data av systemvolumet. Maskiner med en Trusted Platform Module (TPM) 1.2 chip brukes til å lagre nøklene som benyttes til krypteringen. I tillegg til selve nøklene lagres også målinger av nøkkelfiler i systemet på TPM chipen. Hver gang maskinen startes opp, verifiseres filene på disken mot målingene som ligger lagret i TPM chipen. Hvis filene har blitt modifisert, nekter Vista å starte, og går inn i recovery modus. Fra recovery modus må man oppgi en nøkkel for å aksessere volumet. Recovery modus benyttes også hvis disken flyttes over til en ny maskin. Nøkkelen som trengs for å få maskinen ut av recovery modus genereres når BitLocker blir aktivert, og kan for eksempel plasseres i Active Directory.
På denne måten beskytter BitLocker også mot de kjente angrepene på Windows XP, hvor man starter opp med en CD, og resetter administrator passordet på systemet. Eller hvor man aksesserer alle filene på systemet gjennom et annet operativsystem.
BitLocker vil bli tilgjengelig i Vista Enterprise og Vista Ultimate, og det skal også bli en del av den kommende Windows Server Longhorn.
Rights Management Service
Vista kommer med Rights Management klienten innebygd. På tidligere versjoner av Windows var du nødt til å installere en egen klient. Dette er teknologi som hjelper til å beskytte informasjon gjennom å styre tilgangen til dokumenter. Denne tilgangen kan være videresending, utskrift, og mulighet til å dele dokumentet med andre. RMS i Vista tilbyr også muligheten for smartkort, og med nyheter i den kommende Windows Server Longhorn vil RMS være integrert med Active Directory Federation Services for å støtte RMS på tvers av organisasjoner. Xml Paper Specification (XPS) formatet støtter også RMS funksjonaliteten. Dette nye dokumentformatet fra Microsoft er plattformuavhengig og åpent. Nyheter i 2007 utgaven av Office System vil også ta RMS videre, slik at for eksempel rettigheter satt i et dokumentbibliotek i Sharepoint vil håndheves gjennom RMS.
Encrypting File System
Nyheter innen Encrypting File System (EFS) er blant annet støtten for smartkort. Hvis brukeren logger på med smartkort vil EFS ha Single-Signon, som benytter smartkortet for kryptering. EFS kan nå kryptere page fila, samt filer som er synkronisert gjennom offline folders. Med Windows Server Longhorn vil det også bli mulig å kryptere på klienten før data oversendes til serveren, gjennom Client Side Encryption. Med denne funksjonen vil kryptering og dekryptering skje lokalt på Vista klienten. EFS er tilgjenlig på Vista Business, Vista Enterprise og Vista Ultimate.
Oppsummering
Windows Vista er er stort skritt i riktig retning sikkerhetsmessig. Det viser med tydelighet at sikkerhet blir tatt alvorlig hos Microsoft. Windows Vista er et operativsystem for dagens situasjon, hvor brukerne har behov for å beskyttes mot seg selv. For bedrifter betyr forbedringene i Windows Vista en sikrere hverdag, med mer stabile løsninger. En gledelig nyhet for mange er at man nå ikke trenger å kjøre systemet som administrator for å få enkelte applikasjoner til å virke, og hvis man trenger det, er man fortsatt beskyttet gjennom User Account Protection. Jeg har ikke diskutert Internet Explorer i denne artikkelen, men Internet Explorer er et verktøy hvor User Account Protection virkelig viser sin nytte. Selv om sikkerhet aldri kan bli perfekt, er dette er langt steg i riktig retnin
