Om IT-managers te helpen de beveiliging van Windows NT-omgevingen te optimaliseren, heeft Microsoft een speciale website ingericht, de Microsoft Security Advisor. Het beveiligen van een netwerk is echter niet alleen een technische aangelegenheid, maar vooral mensenwerk, zo waarschuwt Alain Meeus.
Onlangs verscheen een artikel van Jurgen van der Vlugt en Edo Roos Lindgreen over de kwaliteit van de beveiliging van Microsoft Windows NT (Computable, 21 augustus, p. 33). Hoewel Microsoft de teneur van het artikel onderschrijft (‘met de beveiligingsarchitectuur van het systeem is niets mis’), willen we graag de aandacht vestigen op een aantal extra beveiligingsdiensten van Microsoft, waarmee de beveiliging van Windows NT-omgevingen te optimaliseren is.
Beveiligingsvereisten variëren van netwerk tot netwerk en beveiligingsmechanismen verhouden zich omgekeerd evenredig tot de factoren snelheid en gebruiksgemak. Dat is de reden dat Windows NT ‘uit de doos’ niet met de zwaarst mogelijke beveiligingsinstellingen van start gaat. In veel omgevingen is een overdreven krachtige beveiliging immers helemaal niet noodzakelijk. Dit betekent echter niet dat NT niet in hoge mate te beveiligen is – integendeel. Voorts is het beveiligen van een netwerk niet alleen een technische aangelegenheid, maar ook en vooral mensenwerk. Een deel van de in de loop der tijd gerapporteerde beveiligingslekken is terug te voeren op slordigheid van gebruikers of nalatigheid van de systeembeheerder. Ook is de veiligheid van een netwerk een functie van het gevoerde beleid aan de toegangspoort van een bedrijf. Anders gezegd: netwerkbeveiliging is een discipline met vele gezichten. Wanneer we ook de tijdsdruk waaronder de meeste beheerders moeten werken in deze vergelijking betrekken, dan mag het geen verwondering wekken dat er nu en dan wel eens iets misgaat. Dit geldt voor elk netwerkbesturingssysteem.
Om IT-managers te helpen de beveiliging van Windows NT-omgevingen te optimaliseren, heeft Microsoft een speciale website ingericht, de Microsoft Security Advisor (http://www.microsoft.com/security). De hier aangeboden diensten helpen beheerders de beveiliging van hun netwerk verder te verbeteren. Ook kan men inloggen op enkele online cursussen die dieper ingaan op de beveiligingsarchitectuur van Windows NT. Voorts wordt een opsomming gegeven van de Windows NT-beveiligingsproducten van onafhankelijke softwareleveranciers. Tot slot is er een overzicht te vinden van op dit moment bekende beveiligingsproblemen, alsmede de door Microsoft aanbevolen oplossingen.
Waarschuwingen per e-mail
Een van de grootste hoofdbrekens waar beheerders mee worstelen is de vraag: hoe word ik geïnformeerd over het nieuwste beveiligingslek voordat dit op mijn netwerk schade kan aanrichten? Om dit probleem het hoofd te bieden heeft Microsoft een e-mailservice in het leven geroepen (de Microsoft Security Notification Service), waarmee nieuwe aanvallen ogenblikkelijk wereldwijd gemeld worden, plus de door Microsoft aanbevolen handelingen om dit gevaar ongedaan te maken. Om hiervan gebruik te kunnen maken, hoeft men zich slechts per e-mail aan te melden. Daarnaast zijn er op deze website beveiligingsbulletins te vinden, gerangschikt op datum of per product (waaronder NT, Internet Information Server, en Exchange Server).
Een nieuw onderdeel van de website is het Microsoft Security Partners-programma. Dit maakt het voor IT-managers heel eenvoudig het beveiligingsproduct voor Windows NT op te sporen waar zij op dat moment behoefte aan hebben. Hier zijn tools te vinden voor onder meer administratie en management, detectie en bewaking, authenticatie en desktopbeveiliging. Deze producten worden geproduceerd door bedrijven als Axent, Internet Security Systems (ISS), Mission Critical Software (MCS), Secure IT en Trusted Systems Services (TSS). Daarnaast is er een lijst met consultants opgenomen, die kunnen helpen bij het doorlichten van een netwerk met het oog op de beveiliging ervan. Hier vinden we bekende namen als Arthur Andersen, Coopers & Lybrand, Ernst & Young en Price Waterhouse.
Richtlijnen voor beveiliging
In opdracht van het Amerikaanse National Security Agency (NSA) heeft Trusted Systems Services (TSS) administratieve en operationele richtlijnen opgesteld waarmee Windows NT binnen die omgevingen die een hoog beveiligingsniveau vereisen, te installeren is. Deze richtlijnen hebben betrekking op Windows NT Server, NT Workstation, Windows 95-clients en enkele Internet-technologieën van Microsoft, zoals de Microsoft Proxy Server en de Microsoft Internet Information Server (ISS). Deze richtlijnen zijn geschreven voor systeembeheerders met een gemiddelde beveiligingsexpertise. Dit 110 pagina’s tellende document is gratis te downloaden van de website van TSS (http://www.trustedsystems.com/fm_Signup.htm). De richtlijnen zijn eveneens in boekvorm verkrijgbaar.
Achter de hyperlink ‘White Papers: Securing Windows NT’ is een zeer uitgebreide informatiebron over de beveiliging van Windows NT-omgevingen te vinden. Van de op dit moment drie bekendste aanvallen – ‘Denial of Service’, de ‘Red Button’ en de ‘Password Snatcher’ – wordt niet alleen de werking uiteengezet, ook wordt een oplossing voor het probleem geboden. In het geval van de ‘Denial of Service’-aanval zijn dat hot-fixes voor respectievelijk Windows NT 4.0 Service Pack 3 en Service Pack 2, voor Windows NT 3.51 en voor Windows 95-stations. Deze fixes kunnen direct van de Microsoft-website worden gedownload.
C2-beveiliging
Omdat het bepaald niet eenduidig is wanneer men van een veilig netwerk kan spreken, zijn hier richtlijnen voor opgesteld. In de Verenigde Staten heeft het NSA een ondergrens bepaald waaraan netwerken dienen te voldoen om het predikaat ‘veilig’ te mogen voeren. Deze grens staat bekend als het C2-niveau. Indien netwerkbesturingssystemen niet aan dit niveau voldoen, mogen zij niet gebruikt worden binnen Amerikaanse overheidsinstellingen. In Europa staat deze norm bekend als E3/F-C2; deze is opgesteld door de Itsec-groep (Information Technology Security Evaluation and Certification). De Itsec-groep heeft tot doel om een gemeenschappelijke Europese beveiligingsstandaard te creëren waaraan netwerkbesturingssystemen en andere software dienen te voldoen. Op deze manier kan voorkomen worden dat softwareproducten in elk land een aparte keuring moeten ondergaan. Deze Europese standaard wordt erkend door Groot-Brittannië, Frankrijk, Duitsland, Nederland en de Europese Commissie. Een netwerkbesturingssysteem dat het C2- of E3/F-C2-predicaat heeft ontvangen, garandeert de integriteit van het systeem op een aantal kritieke onderdelen, zoals gebruikersidentificatie en -authenticatie. Daarnaast dient er functionaliteit voorhanden te zijn om beveiligingsgerelateerde gebeurtenissen en handelingen van gebruikers te kunnen nagaan.
Sinds januari 1997 zijn zowel Windows NT Server als Windows NT Workstation 3.51 goedgekeurd voor gebruik op deze hoge beveiligingsniveaus. Windows NT Server 4.0 en Windows NT Workstation 4.0 worden op dit moment voor C2 respectievelijk E3/F-C2 geëvalueerd.
Overigens brengt Novell geen producten op de markt die een volledige Itsec-evaluatie hebben ondergaan. Momenteel wordt Novell Trusted NetWare 4.11 geëvalueerd om het E2/F-C2-predicaat te ontvangen. Het product wordt echter getest in de Itsec-categorie ‘Networking’ en niet, zoals Windows NT, in de categorie ‘Operating Systems’.
Windows NT 5.0
Microsoft werkt al tien jaar aan Windows NT. In deze periode is er heel veel veranderd en de huidige beveiligingseisen zijn sterk toegenomen in vergelijking met een decennium geleden. Microsofts op handen zijnde volgende versie van Windows NT (5.0) zal nieuwe en zeer krachtige beveiligingsfunctionaliteit aan boord hebben, waaronder Kerberos-authenticatie en bestandsversleuteling. Verder bevat NT 5.0 een veilig TCP/IP-protocol volgens de Ipsec (IP Security) standaard, voor een veilige communicatie tussen computers en netwerkcomponenten. Dit protocol wordt overigens ook geïmplementeerd door leveranciers van Unix-systemen en producenten van routers, zoals Cisco dat op dit gebied ook nauw samenwerkt met Microsoft. Daarnaast is in NT 5.0 public key security opgenomen, waardoor het mogelijk is om standaard Internet-beveilingsmechanismen (gebaseerd op digitale certificaten) te integreren met de standaard NT-beveiliging. Daarmee zal Windows NT volledig voldoen aan alle beveiligingseisen die aan moderne netwerkbesturingssystemen gesteld worden.
Voor Windows NT 4.0 verschijnt binnenkort het Service Pack 4. Een van de nieuwe onderdelen is de Security Configuration Editor die het systeembeheerders eenvoudiger maakt om vanuit een centraal punt de beveiliging van de gehele NT-omgeving te beheren.
Snelle ontwikkelingen
Het beveiligen van een computernetwerk is een non-triviale aangelegenheid, die voortdurend de aandacht van IT-managers blijft opeisen. Een zich snel ontwikkelende technologie, innovatieve hackers, slordige gebruikers en onder tijdsdruk werkende systeembeheerders zorgen ervoor dat er potentiële beveiligingsproblemen kunnen ontstaan. Microsoft doet er alles aan om haar gebruikers een zo groot mogelijke netwerkbeveiliging te bieden; de Microsoft Security Advisor is hier een overduidelijk bewijs van.
Alain Meeus, product manager NT Server Microsoft Benelux
