image

Microsoft beveiligt Windows 10 met Device Guard

woensdag 22 april 2015, 12:03 door Redactie, 18 reacties

Tijdens de RSA Conferentie in San Francisco heeft Microsoft een nieuwe beveiligingsmaatregel voor Windows 10 aangekondigd die besmetting van computers en laptops door malware moet voorkomen. Met Device Guard, zoals de oplossing heet, kunnen organisaties systemen tegen zowel bekende als onbekende malware en Advanced Persistent Threats (APTs) beschermen, alsmede zero day-aanvallen.

Via de beveiligingsmaatregel worden namelijk alleen programma's van specifieke leveranciers, de Windows Store of de eigen organisatie toegestaan. Alle andere software zal Windows 10 blokkeren. Bedrijven kunnen zelf bepalen welke aanbieders Device Guard vertrouwt. De oplossing wordt geleverd met software waarmee het mogelijk is om apps, die niet door de oorspronkelijke leverancier zijn gesigneerd, zelf te signeren, zodat ze toch kunnen worden gebruikt.

Om te bepalen of een programma dat wordt uitgevoerd te vertrouwen is gebruikt Device Guard hardwaretechnologie en virtualisatie om die beslissing van de rest van Windows 10 te isoleren, wat bescherming moet bieden tegen aanvallers of malware die volledige systeemrechten hebben weten te krijgen. Volgens Microsoft biedt dit een groot voordeel ten opzichte van traditionele virusscanners en whitelisting-oplossingen zoals AppLocker, die kwetsbaar voor manipulatie door beheerders of malware zijn. Verschillende fabrikanten, waaronder Acer, Fujitsu, HP, Lenovo en Toshiba, hebben toegezegd het gebruik van Device Guard op hun apparatuur aan te ondersteunen.

Reacties (18)
22-04-2015, 12:17 door spatieman
was het niet bill gates die zij in 1998 dat windows niet veiliger kon ?
22-04-2015, 12:40 door Mysterio
Door spatieman: was het niet bill gates die zij in 1998 dat windows niet veiliger kon ?
Quote graag, want waarschijnlijk was het een 'de veiligste Windows tot nu toe' uitspraak.
22-04-2015, 12:49 door Anoniem
Door Mysterio:
Door spatieman: was het niet bill gates die zij in 1998 dat windows niet veiliger kon ?
Quote graag, want waarschijnlijk was het een 'de veiligste Windows tot nu toe' uitspraak.

Vergeet niet dat de wereld er toen anders uitzag... zeker m.b.t. het Internet...
De aanvallen waren toen veel minder complex...

Als je de veiligheid van een ander OS gaat vergelijken in combinatie met een release van dat jaar, zal het ook stukken minder zijn dan nu.
22-04-2015, 12:55 door donnerd
ZHoe meer censuur, hoe beter toch Microsoft?
22-04-2015, 13:13 door Anoniem
Door donnerd: ZHoe meer censuur, hoe beter toch Microsoft?

Heeft werkelijk geen ruk met censuur te maken.

Ben hier zeer blij mee, klinkt als een zeer goede manier om bv Cryptocrap buiten te houden.
22-04-2015, 13:33 door Anoniem
Volgend jaar in het nieuws: Windows 11, gaat op basis van profielen, gedrag van gebruikers bepalen en gaat illegaal downloaden blokkeren. Alu hoedje of komt het straks weer uit, net als alle andere alu-hoedjes voorspellingen?
22-04-2015, 13:37 door Anoniem
Microsoft gaat dus, in navolging van Apple, onder het mom van {schijn}veiligheid, helemaal bepalen welke software jij op je computer draait.

Dus open source Office programma's, torrent clients, multi-boot met bijv. Linux, de Tor browser enz., dit wordt allemaal "Verboten".

Daarna gaat Microsoft bepalen weke films en muziek en in welke vorm jij op je computer mag hebben staan.

.
22-04-2015, 13:40 door Anoniem
Ik bescherm mijn devices al 10 jaar tegen windows.
22-04-2015, 14:09 door perplex0
Door donnerd: ZHoe meer censuur, hoe beter toch Microsoft?

Ik weet niet, waarom u hier reageert. Misschien is het allemaal een beetje te moeilijk voor u, maar heeft u toch een dringende innerlijke drang om iets (stoms) te zeggen. Doet u dat voortaan toch liever niet. Dank u.
22-04-2015, 15:07 door ph-cofi - Bijgewerkt: 22-04-2015, 15:08
Ben hier zeer blij mee, klinkt als een zeer goede manier om bv Cryptocrap buiten te houden.
Ik hoop het voor u. MS-office (macro's), IE en de Adobe flashplayer zijn ongetwijfeld alledrie goedgekeurd door MS, dus ik vraag me af of het helpt.
22-04-2015, 16:54 door Anoniem
Door spatieman: was het niet bill gates die zij in 1998 dat windows niet veiliger kon ?
Maar hij zegde later toch ook dat het een klein probleempje was. Of heeft hij dat ook nooit zeit?
Graag alles in het ABN als het u belieft.
22-04-2015, 17:07 door Nietsnut
alleen programma's van specifieke leveranciers, de Windows Store of de eigen organisatie toegestaan. Alle andere software zal Windows 10 blokkeren.
Hier zou ik nou weer nerveus van worden je keuze vrijheid wordt beperkt al doen Android en Apple dat ook het nadeel is wel dat veel software die door de open source gemeenschap wordt ontwikkeld waarschijnlijk geblokkeerd gaat worden omdat deze organisaties er geen geld voor over hebben om Microsoft hun software te laten toetsen wat zeker geld gaat kosten ze hebben weer een nieuwe melkkoe gevonden.
22-04-2015, 17:13 door Anoniem
Door Anoniem: Microsoft gaat dus, in navolging van Apple, onder het mom van {schijn}veiligheid, helemaal bepalen welke software jij op je computer draait.

Dus open source Office programma's, torrent clients, multi-boot met bijv. Linux, de Tor browser enz., dit wordt allemaal "Verboten".

Nee dat is echt Onzin : op een Mac kan je aan software installeren wat je wil.

Je bent niet gebonden aan de Mac App Store als je daarop doelde.
Je kan er wel voor kiezen in 'Gatekeeper' als onderdeel van de security strategie alleen software te mogen installeren vanuit de App Store. Of Mac App Store and identified developers, of gewoon alles.
Bij de laatste setting ligt de verantwoordelijkheid goed op te letten extra bij jezelf.

Gatekeeper OS X : https://support.apple.com/en-us/HT202491

Daarnaast is het wel goed om een onderscheid te maken tussen programma's die onder OS X kunnen draaien en het installeren van een ander OS op een Mac.
De Mac is niet zonder reden bedoeld voor het eigen OS X.
Windows installeren kan met Boot Camp of draaien in een VM.
Linux installeren kan in principe ook maar heeft hier en daar wat nadelen, daar is Apple niet primair verantwoordelijk voor en zij blokkeert (bij mijn weten) Linux ook niet bewust zoals zoals dat met sommige (windows) pc hardware wel het geval is voor Linux.

Wat overblijft aan je klacht zou dan nog kunnen zijn dat Apple geen Boot Camp voor Linux aanbiedt?

Maar dan nog, als je per se graag Linux en Tor wil draaien kan dat (waarschijnlijk) best.
Draai dan Tails : https://tails.boum.org/
De gebrande Tails dvd kan onder een aantal OS X systemen en diverse Mac's probleemloos draaien.
Configuratie vanaf USB, bij gebrek aan een dvd drive, is een ander verhaal.
Ook weer niet de primaire verantwoordelijkheid van Apple.

Waarschijnlijk was je in de war met iOS voor je iPad of je mobiel waarvoor je alleen de apps uit de app store kunt downloaden en installeren.
Daar kan je alles van vinden maar het werkt als security maatregel over het algemeen goed. Er is wel eens geopperd dat daarom zekere anderen dit App Store concept daarom overnemen.
Kijk maar wat een dramatisch security gat er gecreëerd wordt als een device gejailbreaked is en er buiten de App store geïnstalleerd kan worden, daarvoor zijn wel vele malafide apps te vinden (met alle ellende van dien).

Omdat ik het 'Apple veilig? geblaat' al voel aankomen;

"1500 iOS-apps kwetsbaar voor MitM-aanvallen"
https://www.security.nl/posting/425745/1500+iOS-apps+kwetsbaar+voor+MitM-aanvallen
Het probleem is gepatcht maar wordt natuurlijk alleen pas echt verholpen als ontwikkelaars dan ook hun eigen ontwikkelsoftware updaten!
Wanneer die dat niet doen zou Apple kunnen overwegen te apps met kwetsbare libraries te blokkeren.
Dan is de wereld vermoedelijk weer te klein.

Maar goed, het topic ging over Windows en niet over Apple!
(wat is dat toch iedere keer? Wees blij met het Os dat je gebruikt of zoek een alternatief dat je beter ligt maar ga niet lopen OS-flamen).
22-04-2015, 17:26 door [Account Verwijderd]
[Verwijderd]
22-04-2015, 19:23 door Anoniem
Je kunt je eigen, zelf gemaakte programma's dus niet eens meer op je eigen computer draaien.

Wil je de software om jouw eigen programma te signeren, dan moet je een speciaal account aanmaken, waarbij je letterlijk het hemd van het lijf wordt gevraagd. Jij moet ook zelf zorgen voor een unieke identificatie. Paspoortnummer?? Verder moet je, en dit is nieuw voor Microsoft, een verklaring van geen bezwaar ondertekenen voor het overdragen van jouw persoonlijk gegevens aan de Amerikaanse overheid, zodat Microsoft juridisch nergens voor aansprakelijk is.
(Voor de praktijk was dat eigenlijk al zo.)

En als laatste moet je ook nog de broncode overdragen aan Microsoft.

Mensen die denken dat dit gaat helpen tegen malware.
Microsoft geeft daarvoor geen enkele garantie.
23-04-2015, 06:53 door [Account Verwijderd] - Bijgewerkt: 23-04-2015, 06:54
Door Anoniem: Je kunt je eigen, zelf gemaakte programma's dus niet eens meer op je eigen computer draaien.

Wil je de software om jouw eigen programma te signeren, dan moet je een speciaal account aanmaken, waarbij je letterlijk het hemd van het lijf wordt gevraagd. Jij moet ook zelf zorgen voor een unieke identificatie. Paspoortnummer?? Verder moet je, en dit is nieuw voor Microsoft, een verklaring van geen bezwaar ondertekenen voor het overdragen van jouw persoonlijk gegevens aan de Amerikaanse overheid, zodat Microsoft juridisch nergens voor aansprakelijk is.
(Voor de praktijk was dat eigenlijk al zo.)

En als laatste moet je ook nog de broncode overdragen aan Microsoft.

Mensen die denken dat dit gaat helpen tegen malware.
Microsoft geeft daarvoor geen enkele garantie.


Via de beveiligingsmaatregel worden namelijk alleen programma's van specifieke leveranciers, de Windows Store of de eigen organisatie toegestaan. Alle andere software zal Windows 10 blokkeren. Bedrijven kunnen zelf bepalen welke aanbieders Device Guard vertrouwt. De oplossing wordt geleverd met software waarmee het mogelijk is om apps, die niet door de oorspronkelijke leverancier zijn gesigneerd, zelf te signeren, zodat ze toch kunnen worden gebruikt.
23-04-2015, 10:45 door Anoniem
De alu doemhoedjes hebben in deze echt geen bot om hun tanden in te zetten: beveiliging is altijd een optelsom van maatregelen. Wat Microsoft aankondigt is een welkome aanvulling.
23-04-2015, 14:34 door Anoniem
Door Anoniem: De alu doemhoedjes hebben in deze echt geen bot om hun tanden in te zetten: beveiliging is altijd een optelsom van maatregelen. Wat Microsoft aankondigt is een welkome aanvulling.

Kan overigens tegenwoordig ook al via een aantal Anti-Virus oplossingen (al zou ik liever anti-malware zeggen).
Check application control maar eens in Kaspersky Total Security. Niks nieuws en niks privacy om over te zeuren. Indien je niets ingeeft doet hij suggestief zijn werk en anders geef je gewoon aan of je het toelaat of niet.
Had al lang standaard moeten zijn op elk OS.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.