Beveiligingsspecialist Mike Nash van Microsoft stelt dat informatiebeveiliging ook in de toekomst aandacht blijft vereisen voor zowel kwaliteit, anti-malware en toegangscontrole.
Systeem- en netwerkbeheer is volgens Nash voor alles de taak voor het Microsoft Operations Manager systeem. In het nieuwe besturingssysteem Windows Vista en de ‘Longhorn’ Windows Server-versie wordt Network Access Protection (NAP) voorzien – een systeem dat de conformiteit aan en naleving van security policies door aangesloten systemen moet afdwingen. NAP zal hiervoor samenwerken met andere services, zoals Active Directory, Group Policy en Microsoft Systems Management.
Een fundamentele rol is bij het afdwingen van die security policies weggelegd voor de toegangscontrole. Microsoft legt sterk de nadruk op malwarebestrijding. Al in 2004 werd het Amerikaanse Giant Company Software overgenomen (leverancier van anti-malwareproducten en diensten). Bovendien zullen anti-malwarefaciliteiten in het besturingssysteem worden opgenomen.
Beveiliging in Vista
Mogelijke problemen met terugwaartse compatibiliteit door nieuwe beveiligingskenmerken in Windows Vista wuift Mike Nash weg. Een aspect als ‘Windows Service Hardening’ in Vista leidt immers niet tot een verstorende werking (eventueel met wat refactoring), maar voorkomt juist ongeoorloofd en schadelijk gedrag.
Meer werk was nodig om problemen rond de ‘user account control’ op te lossen. Vandaag moet de gebruiker nog vaak voor simpele dingen als het aanpassen van de systeemtijd over ‘admin’-rechten beschikken, om het nog niet te hebben over de vele bedrijfstoepassingen die dit vereisen. Microsoft heeft dit voor zijn producten gecontroleerd en heeft een ‘standard user’ gedefinieerd die over lokale admin-rechten kan beschikken.
Vista voorziet overigens standaard ook in sterkere authenticatiemogelijkheden, inclusief het gebruik van smartcards en biometrische systemen. Zo moet het makkelijk worden om kaartlezers in te pluggen en een beveiligde verbinding (door middel van Kerberos) op te zetten. Mike Nash geeft de bedrijven daarbij de raad ook aan een totale aanpak te denken, zodat een flexibel gebruik van bijvoorbeeld smartcards mogelijk is. “Stel dat je buiten het bedrijf bent zonder je smartcard en toch moet inloggen. Het zou mogelijk moeten zijn ergens een smartcard te kopen en vervolgens tijdelijk toegang te krijgen.” Nash benadrukt tevens het werk dat door Microsoft en partners werd geleverd om ‘vertrouwen’ tussen verschillende bedrijven en hun toepassingen te creëren, met een belangrijke rol voor de Microsoft Internet Authentication Service (IAS).
Problemen als de wmf-perikelen van eind vorig jaar relativeert Nash, want dergelijke lacunes waren van geen belang voor de ‘aanvallen van de oude school’. Het ging in wezen om een oneigenlijk gebruik van een error handling. Vandaag wordt dat ondervangen door de ontwikkelaars bewust te maken van beveiligingsaspecten en ‘best practices’ te laten hanteren. Fundamenteel hierbij is een doorgedreven threat modeling, met het oog op het inschatten en voorkomen van gevaren.
Mike Nash, beveiliginspaus van Microsoft
Als corporate vice-president van de Security Technology Unit en tot voor kort ook verantwoordelijk voor interne en externe inspanningen op het vlak van ‘security engineering’, hebben weinigen meer gedaan voor beveiliging bij Microsoft dan Mike Nash. Tot voor kort leidde Nash ook het Security Engineering and Communications team en het Security Outreach team. Vandaag de dag werkt Nash aan het aanbod beveiligingsproducten en -diensten van Microsoft.
