Nieuws
image

Security certificering voor Windows XP

vrijdag 16 december 2005, 10:33 door Redactie, 12 reacties

Het Amerikaanse "National Information Assurance Partnership" heeft aan Windows Server 2003 en Windows XP SP2 Professional de hoogste Common Criteria security certificering uitgedeeld. Volgens Microsoft is dit te danken aan haar nieuwe Security Development Lifecycle (SDL) proces. Tijdens het SDL proces wordt alle code op security risico's gecontroleerd.

Vier versies van Windows Server 2003 werden gecertificeerd, waaronder de Standard Edition, Enterprise Edition, Datacenter Edition en Windows Server 2003 Certificate Server. Eerder kregen zowel Windows 2000 Professional en Server editions de security rating, die bekend staat als Evaluation Assurance Level (EAL) 4.

Om de certificering te krijgen moesten de zes besturingssystemen twintig scenarios uit de praktijk aan. De Common Criteria test is sinds 1999 een industrie standaard. (Betanews)

Update: titel aangepast

Reacties (12)
16-12-2005, 10:46 door SirDice
http://niap.nist.gov/cc-scheme/st/ST_VID4025.html

Leuk.. Maar volgens mij zegt het niet zoveel. Eigenlijk een
beetje hetzelfde als ISO9002. Zolang alles op papier staat
hoe het werkt is het goed.

As I mentioned before, EAL levels run from 1 to 7. EAL1 basically means that the vendor showed up for the meeting. EAL7 means that key parts of the system have been rigorously verified in a mathematical way. EAL4 means that the design documents were reviewed using non-challenging criteria. This is sort of like having an accounting audit where the auditor checks that all of your paperwork is there and your business practice standards are appropriate, but never actually checks that any of your numbers are correct. An EAL4 evaluation is not required to examine the software at all.
Bron: http://eros.cs.jhu.edu/~shap/NT-EAL4.html
16-12-2005, 10:47 door hugo_nl
Let wel, he, sinds *1999* een industrie-standaard. Dit is
geen Windows-only iets ook; ik mis hier een referentie naar
het feit dat:
SuSE Linux ES 9 has already achieved the
certification and almost a year away from being released,
Red Hat Enterprise Linux 5 is on the path toward EAL4
certification."

Met de titel bij dit artikel lijkt de toon gezet te worden
dat alleen Microsoft deze certificering heeft gekregen.
16-12-2005, 10:51 door SirDice
Door hugo_nl
Met de titel bij dit artikel lijkt de toon gezet te worden
dat alleen Microsoft deze certificering heeft gekregen.
Nee, het is zeker niet alleen MS die het heeft:
http://niap.nist.gov/cc-scheme/vpl/vpl_vendor.html
16-12-2005, 11:01 door SirDice
Overigens is EAL4 niet de hoogste.. Volgens de Common
Criteria website is er één OS die een EAL5 heeft.. nl.:
[url=http://niap.nist.gov/cc-scheme/st/ST_VID3012a.html]XTS-400™
/ STOP™ 6.1.E [/url]
16-12-2005, 11:28 door Anoniem
Nu alleen nog al de patches eroverheen, een goede
bescherming eromheen en het OS goed configureren....
Veilig met een vodje papier is nog niemand geweest.
16-12-2005, 11:42 door Anoniem
Dit artikel klopt dus niet. Er staat "Het Amerikaanse
"National Information Assurance Partnership" heeft aan
Windows Server 2003 en Windows XP SP2 Professional de
hoogste Common Criteria security certificering uitgedeeld."

Een stukje verderop staat dat het gaat om EAL4, dit is dus
zeker niet het hoogste (wat dat is EAL7).

Sjaak Laan
16-12-2005, 12:15 door SirDice
Door Anoniem
Dit artikel klopt dus niet. Er staat "Het Amerikaanse "National Information Assurance Partnership" heeft aan Windows Server 2003 en Windows XP SP2 Professional de hoogste Common Criteria security certificering uitgedeeld."
Het gaat al mis bij BetaNews:
Touting the success of it's new Security Development Lifecycle (SDL) process, Microsoft late Wednesday said Windows Server 2003 and Windows XP SP2 Professional and Embedded have secured the highest Common Criteria security certification from the United States government's National Information Assurance Partnership.

Overigens zegt het MS persbericht niet de "hoogste":
http://www.microsoft.com/presspass/press/2005/dec05/12-14CommonCriteriaPR.mspx
16-12-2005, 12:55 door Peter_
Door Anoniem
Dit artikel klopt dus niet. Er staat "Het Amerikaanse
"National Information Assurance Partnership" heeft aan
Windows Server 2003 en Windows XP SP2 Professional de
hoogste Common Criteria security certificering uitgedeeld."

Een stukje verderop staat dat het gaat om EAL4, dit is dus
zeker niet het hoogste (wat dat is EAL7).

Sjaak Laan

Maar ik vraag me af of EAL7 ooit in de praktijk gehaald wordt.

Maar EAL4 is een goed begin. Nu kunnen we de diverse Linux
aanhangers aangeven dat Windows net zo veilig is als Linux. :)
16-12-2005, 13:29 door Anoniem
Volgens mij hebben ze het over een hele andere Windows dan die er bij
de consument op de pc geinstaleers is
16-12-2005, 14:03 door Anoniem
Door Anoniem
Volgens mij hebben ze het over een hele andere Windows dan die er
bij
de consument op de pc geinstaleers is
Hangt ervan af wat er is geinstalleerd. Windows XP home was niet
voorgedragen al volgt deze natuurlijk gewoon de rest in de
ontwikkelingen
19-12-2005, 07:28 door Anoniem
Zoals ieder rapport, onderzoek en verslagen. Lees,
controleer en leer. Onafhankelijk onderzoek bestaat niet
meer. Men dient tussen de regels te lezen ( gaat sneller ook)
20-12-2005, 14:48 door Anoniem
Voor de duidelijkheid, de CC evaluatie geldt alleen voor een
bepaalde versie van het operating system, met een bepaald
patch level, op bepaalde hardware.
Als er ook maar 1 bit gewijzigd wordt is de CC evaluatie dus
NIET MEER GELDIG!

CC evaluatie heeft alleen maar zin als je ook kijkt naar het
Protection Profile (PP) dat gebruikt is bij de evaluatie. In
het geval van de Windows systemen is dat CAPP, controlled
access protection profile. Echt spannend is dat niet, je
gaat er vanuit dat er geen malicious outsiders zijn en geen
malicious administrators.

Met andere woorden... marketing , vendor hype en dankzij de
certificering de mogelijkheid te verkopen aan mensen als de
US Gov, DoD etc.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search