Security Watch
Een inleiding tot de beveiliging van Windows 7 Chris Corio
In Windows Vista zijn verschillende nieuwe beveiligingstechnologieën geïntroduceerd die een grote impact hebben gehad op het Windowsecosysteem. Windows 7 bouwt hierop voort. In dit artikel geven we een overzicht van de nieuwe beveiligingsfuncties en de verbeteringen.
D
e introductie van
User Account Control in Windows Vista is bedoeld opdat gebruikers eenvoudiger met Windows kunnen werken zonder dat zij Administrator-rechten hebben. BitLocker introduceerde versleuteling van volledige volumes voor de Windows-client en met Protected Mode voor Internet Explorer is surfen op internet een stuk veiliger geworden. In Windows 7 heeft Microsoft nog meer in beveiliging geïnvesteerd door nieuwe technologieën toe te voegen en veel van de technologieën die in Windows Vista waren geïntroduceerd, te verbeteren.
Windows Biometric Framework In Windows Vista werd de werking van Winlogon aangepast. De GINAinfrastructuur (Graphical Identification and Authentication) verdween en het Credential Provider-model kwam hiervoor in de plaats. De Credential Provider-infrastructuur bestond uit een set interfaces die voor consistentie zorgde wanneer de gebruikerservaring rond het invoeren van gebruikersreferenties werd uitgebreid door derden. Deze infrastructuur werd geïntegreerd met het algemene Windows-dialoogvenster voor het invoeren van referenties. In Windows 7 heeft Microsoft het nieuwe Windows Biometric Framework (WBF)
Delen van dit artikel zijn gebaseerd op een pre-releasecode. Hierdoor kunnen er verschilllen zijn ten opzichte van de release-versie. 66
juli 2009
toegevoegd. Omdat vingerafdruklezers steeds algemener worden gebruikt, moest er met het oog op ontwikkeling en betrouwbaarheid een algemeen k ader worden gedefinieerd voor het b eheer en gebruik van deze technologieën. Het WBF is bedoeld om de ondersteuning van apparatuur voor biometrische authenticatie gemakkelijker te maken. In Windows 7 biedt WBF alleen ondersteuning voor vingerafdruklezers, maar dit kan in de toekomst worden uitgebreid. Het WBF-platform omvat de volgende hoofdonderdelen: Windows Biometric Driver Interface (WBDI), Windows Biometric Service (WBS); WBF API; WBF User Experience and Integration Points; en WBF Management. De Windows Biometric Driver Interface (WBDI) is bedoeld als een algemene driver-interface voor biometrische apparaten. Deze omvat verschillende interfaces die biometrische apparaten toegang geven tot de gegevensstructuren en IOCTL’s (Input/output controls) die ze nodig hebben voor integratie in het biometrie-framework. Er kunnen drivers worden geïmplementeerd in alle algemene driver frameworks, zoals Windows Driver Model, Kernel Mode Driver Framework en User-Mode Driver Framework (UMDF). UMDF is echter het aanbevolen driver framework voor biometrische apparaten, omdat dit een grotere betrouwbaarheid voor Windows biedt wanneer de driver van het biometrische apparaat crasht. De Windows Biometric Service (WBS) is het onderdeel dat het WBF bij e lkaar
houdt. De WBS biedt een interface met de drivers van biometrische apparaten en maakt de Windows Biometric Framework API’s beschikbaar, waardoor toepassingen met deze apparaten kunnen werken. Een belangrijke voorziening van de WBS is dat deze de feitelijke biometrische gegevens van een gebruiker nooit blootgeeft aan toepassingen die hiervoor niet bevoegd zijn. Dit is van groot belang, omdat mensen hun biometrische handtekening niet zomaar kunnen wijzigen als deze is gecompromitteerd, wat bij een wachtwoord wel mogelijk is. In plaats van de feitelijke gegevens stelt de WBS een handle beschikbaar (meestal een GUID of een SID), waarmee toepassingen indirect met de biometrische gegevens kunnen werken. Bovendien beheert de WBS groepen apparaten voor biometrische authenticatie. Hierdoor kunt u bepalen hoe biometrische apparaten worden gebruikt. Sommige apparaten kunnen worden gebruikt met elk aanmeldingsdialoogvenster, zoals de aanmeldingsprompt of een UAC-prompt. Stel u hebt Parental Controls ingesteld op uw thuissysteem. Als dan uitbreiding van toegangsrechten nodig is op het systeem, hoeft u hiervoor alleen maar uw vingerafdruk te laten lezen. Deze groep biometrische apparaten wordt de System pool genoemd. Daarnaast zijn er nog twee andere groepen: de Private pool, waarmee toepassingen authenticatie kunnen bieden die niet is geïntegreerd met de authenticatie-infrastructuur van Windows, en de Unassigned pool, die is TechNet Magazine
bedoeld voor apparaten die niet binnen de andere twee groepen vallen. Elk apparaat dat deel uitmaakt van een groep apparaten, wordt feitelijk door de WBS weggeabstraheerd met een gegevensklasse die een Biometric Unit wordt genoemd. De Biometric Unit maakt verbinding met de Biometric Service Provider (BSP) van de WBS, die vervolgens een beleid en gedrag implementeert dat specifiek is voor een set biometrische apparaten. Via de Biometric Unit kan de BSP mogelijkheden bieden die niet worden ondersteund door een bepaald apparaat, zoals het opslaan van vingerafdrukdata of het verwerken van die data nadat deze door een apparaat zijn verkregen. Het derde hoofdonderdeel van het WBF is de set API’s, ook wel de WinBio* API’s genoemd, die door toepassingen en user-mode componenten kunnen worden gebruikt om rechtstreeks met het apparaat te werken. Hiermee kan met een apparaat worden gewerkt tijdens het oorspronkelijke registratieproces om de vingerafdruk van een gebruiker te verkrijgen en deze te koppelen aan een bepaalde gebruikers account, en tijdens het verifiëren van een gebruiker voor een aanmelding of UAC. Deze API’s maken ook gegevens beschikbaar over het specifieke biometrische apparaat en de kenmerken hiervan. Bovendien kunnen de WBF API’s worden uitgebreid, zodat een toepassing kan werken met apparaatspecifieke voorzieningen. Het WBF biedt twee hoofdmanieren om het gebruik van biometrische a pparaten te configureren. Voor eindgebruikers is er een Control Panel applet, die op een paar locaties beschikbaar is. Het Biometric Devices Control Panel vindt u onder Hardware and Sound. Vanaf deze locatie kan de gebruiker een toepassing van derden voor het beheer van vingerafdrukken starten. Omdat Windows 7 niet beschikt over een ingebouwde toepassing voor het beheer van vingerafdrukken, zal deze moeten worden geschreven door een andere leverancier of OEM. Het Windows Biometric Framework biedt ondersteuning voor lokale en domeinaanmelding, en voor UAC op basis van vingerafdrukken via de ingebouwde TechNet Magazine
Biometrics Credential Provider. Het Windows Biometric Framework kan ook via Group Policy worden beheerd. Een beheerder kan het hele framework in- of uitschakelen en beheren welke soorten aanmeldingen gebruik kunnen maken van bio metrie. Zo kunnen lokale aanmeldingen en domeinaanmeldingen bijvoorbeeld afzonderlijk worden geconfigureerd.
Authenticatieprotocollen Homegroup is een nieuwe functie van Windows 7 voor thuiscomputers en kleine netwerken. Hiermee kunnen gebruikers gegevens, zoals mediabestanden, delen tussen verschillende
WBS geeft biometrische data nooit aan toepassingen zonder de juiste privileges computers in huis en kunnen ze een online id gebruiken voor de authenticatie tussen deze computers. Deze functionaliteit werkt alleen als gebruikers hun Windows-gebruikersaccount expliciet aan een online id koppelen. Authenticatie gebeurt via een nieuw
protocol met de naam Public Key-based User to User of PKU2U. Bovendien introduceert Windows 7 een uitbreiding op het Negotiateauthenticatiepakket: Spnego.dll. SpNego is de functie die bepaalt welk protocol moet worden gebruikt voor een authenticatie. Vóór Windows 7 was de keuze meestal beperkt tot Kerberos of NTLM (Windows Challenge/ Response). De NegoEx-uitbreiding wordt door Windows als een authenticatieprotocol behandeld en deze ondersteunt twee Microsoft security support providers: PKU2U en Live. Uitbreiding is toegestaan om de ontwikkeling van andere security support providers mogelijk te maken. Beide functies werken wanneer met een online id verbinding wordt gemaakt met een andere computer in de Homegroup. Wanneer een computer verbinding maakt met een andere, roept de negotiate extension de PKU2U security support provider op de aanmeldingscomputer aan. De PKU2U security support provider krijgt een certificaat van de policy engine van de certificeringsinstantie en wisselt het beleid (samen met andere metadata) uit tussen de peercomputers. Wanneer het certificaat op de peercomputer is gevalideerd, wordt het ter validatie naar de aanmeldings-
Figuur 1 Een station voorbereiden voor BitLocker juli 2009
67
Security Watch peer gestuurd. Het certificaat van de gebruiker wordt dan aan een beveiligingstoken toegewezen en het aanmeldingsproces is voltooid.
Verbeteringen in BitLocker BitLocker is door Microsoft geïntroduceerd in Windows Vista. Deze oplossing voor de versleuteling van volledige volumes is speciaal ontworpen voor de beveiliging van gegevens op notebooks en desktopcomputers of servers bij nevenvestigingen. Een uiterst nuttige beveiliging om gegevensverlies te voorkomen. In Windows 7 zijn veel verbeteringen aangebracht in het beheer van BitLocker. Voorbeelden hiervan zijn het consistent afdwingen op alle interfaces (de UI, het commandlineprogramma manage-bde en de WMI provider) en afzonderlijke Group Policy-instellingen voor interne opslagvolumes. Ook zijn er nieuwe Group Policy-instellingen voor het bijwerken van uw wachtwoorden en integratie met smartcards op stations die geen besturingssysteem bevatten. Bovendien kunt u de werking met betrekking tot automatische deblokkering wijzigen. Bij Windows Vista werd geklaagd dat het moeilijk is om het station met het besturingssysteem te partitioneren ter voorbereiding op de installatie van BitLocker, vooral wanneer het OS al was geïnstalleerd. Dit probleem is in Windows 7 opgelost met twee verbeteringen. In de eerste plaats krijgen gebruikers bij de set-up van Windows 7 standaard een afzonderlijke actieve systeempartitie ter beschikking. Dit is vereist om BitLocker te laten werken op een station met een OS. Een tweede stap die in veel omgevingen nodig was, is hierdoor overbodig geworden. Als u nog geen afzonderlijke systeempartitie hebt, kunt u alsnog tijdens de set-up van BitLocker een station voor BitLocker partitioneren (zie Figuur 1).
BitLocker To Go Eén van de opvallendste en belangrijkste toevoegingen is BitLocker To Go, dat speciaal is ontworpen om gegevens op verwisselbare opslagmedia te beveiligen. Hiermee kunt u BitLocker Drive Encryption configureren op USB-sticks en externe harde schijven. Aan het ont68
juli 2009
werp van BitLocker To Go werden de volgende voorwaarden gesteld: de functie moest gebruiksvriendelijk zijn en werken op bestaande stations, indien nodig moet toegang tot de opgeslagen gegevens kunnen worden hersteld en de gegevens moesten bruikbaar zijn op systemen met Windows Vista en Windows XP. BitLocker To Go biedt IT-managers een groot aantal verbeteringen op beheergebied. De opvallendste hiervan is een nieuwe instelling van Group Policy waarmee u verwisselbare stations als read-only kunt configureren, tenzij deze zijn versleuteld met
Windows XP en Windows Vista. Na de release van Windows 7 zal de reader ook beschikbaar zijn via het Microsoft Download Center. De toepassing biedt read-only toegang tot BitLocker-stations die gebruikmaken van de password key protector. Smartcardauthenticatie is niet beschikbaar wanneer de BitLocker To Go Reader wordt gebruikt.
Verbeteringen in UAC User Account Control (UAC) is een technologie die vaak verkeerd wordt begrepen. Om te beginnen is het eigen-
BitLocker To Go is de meest opvallende toepassing, die speciaal is ontworpen om data op externe drives te beschermen BitLocker To Go. Een belangrijke verbetering in de beveiliging van kritieke bedrijfsdata indien een medewerker een USB-stick kwijtraakt. Ook het vermelden waard is de mogelijkheid om toegang tot een BitLocker To Go-apparaat te herstellen als de gegevens door encryptie niet toegankelijk zijn. Deze technologie, die een Data Recovery Agent wordt genoemd, is overgenomen van de functie Encrypted File System (EFS) en hiermee kan toegang tot bedrijfsgegevens op een draagbare schijf gemakkelijk worden hersteld met een kopie van de sleutel die door het bedrijf veilig kan worden achtergehouden. Om BitLocker To Go onder Windows XP en Windows Vista te laten werken, moest de core-functie van BitLocker enigszins worden aangepast. Hiervoor werd de methode gewijzigd waarmee BitLocker FAT-volumes beveiligt. Over het fysieke, originele volume wordt een ‘discovery volume’ heen gelegd en de overschreven blokken worden gevirtualiseerd. Het discovery volume bevat de BitLocker To Go Reader en een Readme-bestand. Dit wordt een Hybrid BitLocker drive genoemd. Wanneer een FAT-station wordt versleuteld, wordt standaard een hybrid-BitLocker-drive gemaakt. De discovery-drive is alleen zichtbaar in de besturingssystemen
lijk een verzameling functies en niet alleen een bevestigingsprompt. Enkele van deze functies zijn File and Registry Redirection, Installer Detection, de UAC-prompt en de ActiveX Installer Service. Deze functies zijn allemaal bedoeld om Windows-gebruikers te laten werken met gebruikersaccounts die geen deel uitmaken van de groep Administrators. Deze accounts worden meestal standaardaccounts genoemd en hebben de minste rechten. Waar het om gaat, is dat de veiligheid en betrouwbaarheid van het systeem veel groter zijn wanneer gebruikers onder een standaardaccount werken. Veel ontwikkelaars zijn al begonnen om hun toepassingen zo aan te passen dat ze ook goed werken voor gebruikers met een standaardaccount en voor bedrijven is het inmiddels heel goed haalbaar om standaardaccounts te implementeren. Dankzij deze verbetering profiteren deze bedrijven van lagere ondersteuningskosten en lagere totale kosten (TCO) voor de bedrijfscomputers. Thuis kunnen standaardaccounts bijvoorbeeld in combinatie met Parental Controls voor kinderen worden gebruikt om een veilige omgeving te creëren. Windows 7 beschikt over talloze verbeteringen in de werking van de standaardaccount. Daarnaast bieden nieuwe configuratie-instellingen meer TechNet Magazine
controle over de User Account Controlprompt in de Administrator Approval Mode. Het doel is de bruikbaarheid te verbeteren terwijl tegelijkertijd aan softwareleveranciers duidelijk wordt gemaakt dat de standaard beveiligingscontext waarop ze zich moeten blijven richten, die van een standaardgebruiker is. In de praktijk betekent dit dat gebruikers in Windows 7 geen prompts meer te zien krijgen voor algemene beheertaken. Dit is dankzij een nieuwe instelling waarmee u alleen wordt gewaarschuwd wanneer programma’s proberen wijzigingen aan te brengen op uw computer. Dit werkt eigenlijk heel eenvoudig. Wanneer een proces wordt gestart, wordt het beleid gecontroleerd om te zien of de instelling ingeschakeld is. Als het proces dat wordt gestart deel uitmaakt van Windows, wat wordt geverifieerd door te controleren of de handtekening voorkomt in de Windows catalog files, wordt het proces gemaakt zonder dat er een prompt wordt weergegeven. Met deze instelling krijgt u dus geen prompts meer wanneer u Windows-instellingen wijzigt, maar alleen bij beheerwijzigingen die worden aangevraagd door niet-Windows-toepassingen, bijvoorbeeld wanneer er nieuwe software wordt geïnstalleerd. Mensen die vaak Windows-instellingen wijzigen, krijgen met deze instelling veel minder prompts te zien. Daardoor zullen gebruikers meer aandacht besteden aan de meldingen die wel worden weergegeven. De andere belangrijke wijziging is dat voor verschillende onderdelen niet langer beheerdersrechten n odig zijn. Gebruikers kunnen bijvoorbeeld instellen of ze op hun desktop de hoge DPI-modus willen gebruiken, een populaire functie nu computerbeeldschermen alsmaar groter worden en pixels kleiner. Of standaardgebruikers kunnen een problematische netwerkverbinding nu resetten, mits ze niet remote werken op de computer. Dit werd zowel door thuisgebruikers als door bedrijven veel gevraagd. Doordat het aantal prompts is teruggebracht, zijn meteen ook gebieden gestroomlijnd waarin voor één actie van de gebruiker meerdere prompts TechNet Magazine
werden weergegeven. Het installeren van ActiveX-besturingselementen verloopt bijvoorbeeld veel soepeler in Windows 7. In Windows Vista werd door Internet Explorer 7 het proces IEInstal.exe gemaakt om de installatie van een ActiveX-besturingselement uit te voeren. Dit resulteerde in een UACprompt waarin werd gevraagd of u een invoegtoepassing van IE wilde installeren die moest worden uitgevoerd met beheerdersrechten. Deze prompt verschafte niet veel context over wat er nou precies werd geïnstalleerd en u kreeg meteen een prompt van Internet Explorer om een bepaald besturingselement toe te staan. Voor Windows 7 en Internet Explorer 8 is het installatieproces aangepast. Hiervoor wordt nu de ActiveX Installer Service gebruikt. Deze extraheert de gegevens van de uitgever van het ActiveX-besturingselement en geeft die weer tijdens het installatieproces (zie Figuur 2). De tweede prompt tijdens de installatie van een ActiveXbesturingselement wordt nu niet meer weergegeven.
AppLocker De betrouwbaarheid en beveiliging van desktops in een bedrijf kunnen aanzienlijk worden verbeterd wanneer kan worden gecontroleerd welke toepassingen door een gebruiker of een set gebruikers kunnen worden uitgevoerd. In het algemeen worden de totale kosten van computers in een bedrijf verlaagd wanneer
het beleid bestaat om toepassingen te blokkeren. Windows 7 beschikt hiertoe over AppLocker: een nieuwe functie die de uitvoering van toepassingen bestuurt en die het gemakkelijker maakt een blokkeringsbeleid voor toepassingen te maken voor een bedrijf. Blokkeringsbeleid voor toepassingen is door Durga Prasad Sayana en mij vorig jaar besproken in een artikel met de titel ‘Application Lockdown with Software Restriction Policies’ (beschikbaar op technet.microsoft.com/en-us/magazine/2008.06.srp.aspx). In dit artikel zijn we dieper ingegaan op enkele moeilijkheden die een bedrijf tegenkomt bij het maken van een dergelijk beleid, z oals: Weten welke software in uw omgeving wordt gebruikt; weten welke toepassingen mogen worden uitgevoerd door verschillende gebruikers; weten hoe het benodigde beleid moet worden gemaakt; en vaststellen of een beleid na de implementatie goed werkt. AppLocker biedt hiervoor een nieuwe benadering waarmee kan worden gecontroleerd hoe een blokkerings beleid zal werken. Met AppLocker kan worden ingesteld of gebruikers mogen werken met alle typen toepassingen: executables, scripts, Windows Installerbestanden en DLL’s. Bovendien biedt het nieuwe instellingen in het blokkeringsbeleid voor toepassingen. Deze zijn specifieker en raken niet zo snel van slag als een toepassing wordt bijgewerkt. Windows 7 biedt bovendien
Figuur 2 User Account Control bij het installeren van een ActiveX Control juli 2009
69
Security Watch ondersteuning voor legacy SRP-regels (Software Restriction Policy). De nieuwe AppLocker-regels worden echter niet ondersteund in Windows XP en Windows Vista. De enforcement modes worden allemaal geïmplementeerd boven op de onderliggende enforcement agent van AppLocker, die is geïmplementeerd in de appid.sys driver. Deze driver biedt de mogelijkheid om in de kernelmodus regels te controleren voor events zoals het maken van processen en het l aden van DLL’s. Voor toepassingen die enforcement in de gebruikers modus implementeren, wordt de legacy SaferIdentifyLevel API gebruikt om te bepalen of een toepassing kan worden uitgevoerd. SaferIdentifyLevel geeft de enforcement-controle nu echter door aan een service die de feitelijke verificatie van de binary doet en het beleid uitvoert. Dit is een belangrijke verbetering in de architectuur ten opzichte van de legacy functie Software Restriction Policies.
Snap-ins AppLocker is bedoeld om ITprofessionals in staat te stellen een eenvoudige set regels te maken die aangeven welke toepassingen mogen worden uitgevoerd en ervoor te zorgen dat die regels zijn opgewassen tegen updates van die toepassingen. Voor het maken van AppLocker-beleid is er een nieuwe AppLocker MMC snap-in UX in de Group Policy Object Editor snap-in UX en deze vormt een enorme verbetering in het proces voor het maken van AppLocker-regels. Er is een wizard waarmee u een afzonderlijke regel kunt maken en nog een wizard waarmee automatisch regels voor u worden gegenereerd op basis van uw regelvoorkeuren en de map die u selecteert (zie Figuur 3). U kunt de bestanden bekijken en ze uit de lijst verwijderen voordat er regels voor worden gemaakt. Bovendien kunt u nuttige statistieken krijgen over hoe vaak een bestand is geblokkeerd of kunt u AppLocker-beleid voor een bepaalde computer opheffen. In de vorige Software Restriction Policies was het bijzonder moeilijk om een beleid te maken dat veilig was en 70
juli 2009
t egelijkertijd bestand was tegen software-updates. Dit was het gevolg van het gebrek aan fijnmazigheid van certificaatregels en de kwetsbaarheid van hash-regels, die verbroken werden wanneer een application binary werd bijgewerkt. Dit probleem is nu opgelost doordat u met AppLocker een regel kunt m aken die een certificaat combineert met een productnaam, bestandsnaam en bestandsversie. Het is makkelijker om op te geven dat a lles kan worden uitgevoerd dat door de leverancier is ondertekend voor een specifiek product.
schakelen. Het AppLocker-beleid wordt opgeslagen onder de sleutel HKLM\ Software\Policies\Microsoft\Windows\ SrpV2. Het beleid wordt in een XMLindeling opgeslagen en wordt vertaald door de service Application Identity (AppID). Wanneer beleid wordt verwerkt, wordt de appid.sys driver via IOCTL_SRP_POLICY door de service op de hoogte gesteld van het nieuwe beleid en wordt het beleid opnieuw geladen door de driver. Wanneer u wijzigingen wilt aanbrengen in uw IT-omgeving, moet u in de eerste plaats bekijken hoe de omge-
Over het algemeen kan een application lockdown policy de TCO van computers binnen bedrijven verlagen Daarnaast heeft AppLocker-beleid in Windows 7 nog meer voordelen, zoals de scheiding tussen verschillende typen uitvoerbare bestanden (namelijk EXE’s, DLL’s en MSI of script hosts). Deze bestandstypen worden in vier categorieën (rule collections) onderverdeeld en het a fdwingen van het beleid wordt voor elke categorie afzonderlijk geconfigureerd. Beheerders kunnen dan bijvoorbeeld controles door AppLocker voor executables inschakelen zonder controles van scriptbestanden in te
ving nu functioneert. Vervolgens kunt u de g ewenste wijzigingen zorgvuldig plannen en testen, zodat deze daarna probleemloos kunnen worden geïmplementeerd. Hiervoor is de Audit-only enforcement-modus bedoeld. Controle van het afdwingen van het AppLocker-beleid is van essentieel belang. U kunt hiermee niet alleen een beleid testen voordat dit wordt toegepast, maar het biedt tegelijkertijd ook de mogelijkheid om de werking van het beleid in de praktijk te controleren. U
Figuur 3 Automatisch regels genereren voor AppLocker-beleid TechNet Magazine
DNSSec-validatie
Exploits met betrekking tot DNS vormen sinds enkele jaren een steeds groter probleem op internet. Er bestaat een beter inzicht in het vergiftigen van DNS-servers en aanvallers beginnen gebruik te maken van die informatie. Dit betekent dat gebruikers die een website bezoeken, niet altijd absoluut zeker weten of ze in werkelijkheid geen andere, kwaadwillende site bezoeken. Windows Server 2008 R2 en Windows 7 introduceren vanaf de huidige standaarden (RFC 4033, RFC 4034 en RFC 4035) ondersteuning voor DNSSEC. Met Windows Server 2008 R2 kan de DNS Server artefacten voor origin authority en data integrity artefacts zorgen. Een server kan dan in reacties digitale handtekeningen aan DNSgegevens koppelen en bovendien gegevens valideren die van andere DNS-servers worden ontvangen. Windows 7 is het eerste client-besturingssysteem dat alle benodigde onderdelen bevat om door de client te laten verifiëren dat deze veilig communiceert met een DNS-server en om te verifiëren dat de server DNSSEC-validatie voor de client heeft uitgevoerd. Deze technologie wordt op dit moment nog getest om ervoor te zorgen dat deze maximaal compatibel is met bestaande internetinfrastructuren en het is de bedoeling dat deze ook in de toekomst een rol blijft spelen in de beveiliging van DNSgegevens.
moet bijvoorbeeld weten of een specifieke groep gebruikers een toepassing op een bepaald punt nodig heeft. Dit kan worden vastgesteld door verbinding te maken met het systeem en vervolgens in de controlegegevens van AppLocker te kijken of de uitvoering van een bepaalde toepassing werd geblokkeerd door een blokkeringsbeleid voor t oepassingen. Het primaire mededelingenkanaal voor AppLocker-events bevindt zich in de Applications en Service Logs die kunnen worden weergegeven in Event Viewer (eventvwr.msc). Zoek de EXEen DLL- en de MSI- en Script-logs onder de event-channel Microsoft\ Windows\AppLocker\ als u deze logboekvermeldingen wilt bekijken. Er kan een groot aantal verschillende events worden gegenereerd, bijvoorbeeld of uitvoering van een toepassing werd toegestaan of geblokkeerd, en of een beleid werd toegepast op een systeem.
Globale SACL’s en Granular Auditing In Windows 7 zijn bestaande controle mechanismen uitgebreid met nieuwe functies waarmee u gebruikers kunt beheren in plaats van alleen objecten, en waarmee u meer informatie krijgt over AccessCheck-fouten voor bestands objecten. Hierdoor zijn nieuwe controlescenario’s mogelijk en kan het TechNet Magazine
hele controlemodel aanzienlijk worden aangepast. Of objecttoegang wel of niet werd gecontroleerd, werd in andere versies van Windows bepaald door de vraag of de SACL van de security descriptor van een object een ACE (Access Control Entry) bevatte die aangaf dat het object moest worden gecontroleerd. Hierdoor kon eenvoudig worden onderzocht welke toegang plaatsvond voor een bepaalde registersleutel of een bestand. Helaas was er geen methode om te kijken wat door een bepaalde gebruiker werd benaderd. Als u dat wilde weten, moest u bijvoorbeeld controle inschakelen voor elke resource waarmee de gebruiker mogelijk zou kunnen werken, waardoor elke toegang door elke gebruiker van de resource in het controlelogboek terecht zou komen. Het is echter veel werk om controle in te schakelen voor een dataset die groot genoeg is om alles vast te leggen wat mogelijk zou kunnen worden benaderd door een gebruiker. Elke resource moet worden bijgewerkt z odat de SACL het controlebeleid bevat en voor elke wijziging in dit beleid moet elke SACL worden bijgewerkt. Om dit g emakkelijker te maken komt Windows 7 nu met Global Object Access Auditing, dat wordt beheerd door auditpol.exe en kan worden geconfigureerd via Group Policy. Global Object Access Auditing beschikt over een ‘Global SACL’: een
SDDL-string die samen met andere controlegegevens in het register wordt opgeslagen. Voor het beheer van de Global SACL zijn twee nieuwe API’s toegevoegd: AuditSetGlobalSacl en AuditQueryGlobalSacl. Om de Global SACL bij te werken is de bevoegdheid SeSecurityPrivilege nodig, zodat de Global SACL niet kan worden gewijzigd door een gebruiker die geen beheerdersrechten heeft. Bovendien biedt de beveiligingscontrole in Windows 7 de mogelijkheid om te controleren waarom de toegang tot een object wel of niet werd toegestaan. Dit is belangrijke informatie bij het debuggen van een toepassing die niet goed werkt en als u wilt controleren of uw beveiligingsbeleid effectief is. De functionaliteit van Global Object Access Auditing en de toevoeging van aanvullende controlegegevens voor toegang zijn beide geïmplementeerd in een nieuwe beveiligings-API in de kernelmodus, SeAccessCheckEx. In Windows 7 zijn NTFS en de Detailed File Share de twee resource managers die gebruikmaken van deze API. Wanneer de API ingeschakeld is, voegt deze aan het controlelogboek informatie toe die aangeeft waarom een toegangspoging wel of niet is geslaagd. Deze functies zijn op dit m oment dus alleen van toepassing op het bestandssysteem en op bestandsshares, maar ze kunnen in toekomstige versies van Windows worden uitgebreid naar andere resource managers.
Nog veiliger In Windows 7 is een aantal nieuwe scenario’s mogelijk. De bescherming tegen malware en datadiefstal is verbeterd. Veel van deze functies zijn ook gericht op het verbeteren van de gebruikers ervaring voor thuisgebruikers, zakelijke gebruikers en IT-professionals. In de praktijk zal blijken dat het Windows 7-systeem nog beter werkt. } Chris Corio maakte meer dan vijf jaar deel uit van het Windows Security-team van Microsoft. Bij Microsoft hield hij zich vooral bezig met beveiligingstechnologieën voor toepassingen en beheertechnologieën voor de beveiliging van Windows. U kunt Chris bereiken via:
[email protected]. juli 2009
71
