image

Gratis Windows XP-tool succes tegen hackers

vrijdag 27 april 2012, 12:33 door Redactie, 11 reacties

Een gratis beveiligingsprogramma om Windows XP tegen aanvallen te wapenen is een groot succes, aldus cijfers van Microsoft. In mei vorig jaar bracht de softwaregigant een nieuwe versie van de Enhanced Mitigation Experience Toolkit (EMET) uit. EMET gebruikt verschillende technieken om aanvallen tegen systemen te bemoeilijken en zou zelfs zero-day aanvallen kunnen stoppen. De toolkit zorgt er daarnaast voor dat oudere Windows-versies en applicaties toch over modernere beveiligingsmaatregelen kunnen beschikken.

Beveiligingslekken in verschillende programma's zijn daardoor lastiger te misbruiken en dat is duidelijk zichtbaar. Microsoft testte 184 exploits tegen Windows XP met Service Pack 3, Windows XP met SP3 en EMET en Windows 7 RTM. Van de 184 exploits werkten er 181 op Windows XP met SP3. Is EMET geïnstalleerd en voor de betreffende applicaties ingesteld, dan werken er nog slechts 21 exploits. De eerste versie van Windows 7 was voor 10 exploits kwetsbaar.

Aanvalsoppervlak
Microsoft merkt op dat de resultaten kunnen verschillen, afhankelijk van welke exploits aanvallers in het wild gebruiken. "Toch suggereren de gegevens dat systeembeheerders hun aanvalsoppervlak behoorlijk kunnen verkleinen door naar de nieuwste versie van hun besturingssysteem en applicaties te upgraden en door EMET uit te rollen, of beide." EMET werkt op alle ondersteunde Windows-versies.

Reacties (11)
27-04-2012, 12:35 door spatieman
en lucht is groen.
en gras is blauw..
27-04-2012, 13:44 door Anoniem
Zo te zien, komt de WC-eend met valse rapporten..
27-04-2012, 14:04 door Spiff has left the building
Mmm ja, EMET is een mooi hulpmiddel, maar dan moet het niet alleen worden geïnstalleerd, zoals enigszins gesuggereerd lijkt te worden met een zinsnede als "Is EMET geïnstalleerd, dan [...]", maar tevens moet het op de juiste wijze worden geconfigureerd, zodat daarmee naar wens DEP en/of SEHOP worden toegepast en eventueel ook ASLR wordt toegepast op applicaties naar keuze.

Mogelijk is dat voor iedereen hier wel duidelijk, maar ik noem het toch maar even.
Eerder viel het me op dat niet iedereen doorziet dat slechts het installeren van EMET niet voldoende is, maar dat het een middel is om een bepaalde configuratie mee in te stellen.
In een thread op C!T-forum werd dat eerder eens onder de aandacht gebracht door middel van een aantal reacties door Stupendous Man:
http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=214466

[admin] Goed punt, we hebben het erbij gezet [/admin]
27-04-2012, 14:25 door Anoniem
Spiffje, hulde

Zowaar een post met toegevoegde waarde ...
27-04-2012, 15:35 door Spiff has left the building
Dankjewel, Admin en ook Anoniem.
En aan die laatste: Er zijn beslist vaker reacties met toegevoegde waarde, hoor. Zelfs ook wel eens van mij ;-)
27-04-2012, 16:26 door choi
Uitstekend artikel waar Spiff naar verwijst. XP kan nog twee jaar mee en ik denk dat security verhogende maatregelen voor dit OS op zijn plaats zijn.

In dat licht heb ik een aanvulling op EMET en de in het artikel genoemde punten:
XP gebruikers zouden ook nog eens het open source SuRun kunnen installeren waardoor er een soort UAC/SUDO situatie wordt gecreëerd; de gebruiker draait dus onder beperkte rechten en deze worden pas geëscaleerd waar nodig. Hiermee wordt het grootste probleem van XP-het ontbreken van een rechtenbeleid-aangepakt.

Met de combinatie SuRun+EMET komt XP, denk ik, aardig in de buurt van Win7 wat native security betreft.

Documentatie:
http://kay-bruns.de/wp/software/surun/ (Duits met link naar engelse vertaling)

http://kay-bruns.de/wp/software/surun/funktionsweise-von-surun/ (technische documentatie in het Duits)

http://kay-bruns.de/download/SuRun1200nl.pdf (uitgebreide Nederlandse documentatie).

In principe is de installatie simpel:
-Met wachtwoord beschermde account aanmaken met beheerdersrechten (dit is een 'recovery' account voor wanneer de SuRun account FUBAR is)
-SuRun installeren onder het account waarin de gebruiker normaal werkt (deze dient-indien nog niet het geval-ook van een wachtwoord te worden voorzien)
-Aangeven dat deze account een SuRun account is
-Systeem herstarten
-Groene smiley in de systray geeft aan dat SuRun correct is geïnstalleerd en dat het account onder beperkte rechten draait.

Let op:
Het is ook verstandig om andere accounts zoals de verborgen Administrator-account (deze kan zichtbaar worden gemaakt met TweakUI) van een wachtwoord te voorzien (je krijgt vanzelf een melding als dat niet het geval is).
Men dient ook te beseffen dat het gebruik van XP enigszins aangepast zal worden, dus goed de documentatie doornemen.

TweakUI:
http://www.filehippo.com/download_tweakui/

nb:
SuRun werkt ook onder Vista en is-denk ik-een beter alternatief voor het UAC van dit OS.
27-04-2012, 17:42 door Spiff has left the building
Door choi: [...]
Het is ook verstandig om andere accounts zoals de verborgen Administrator-account (deze kan zichtbaar worden gemaakt met TweakUI) van een wachtwoord te voorzien (je krijgt vanzelf een melding als dat niet het geval is).
[...]

Er wordt vaker geadviseerd het verborgen Administrator-account van een wachtwoord te voorzien.
Maar ik vraag me daarbij altijd af of dit nou wel werkelijk nuttig is wanneer dat account niet slechts is verborgen maar standaard altijd volledig is uitgeschakeld.

Daarnaast, het verborgen Administrator-account is niet alleen te beheren via een hulpprogramma zoals TweakIU, maar ook eenvoudig 'gewoon' via
Computerbeheer\ Systeemwerkset\ Lokale gebruikers en groepen\ Gebruikers\ Administrator\
\ Account inschakelen
\ Acties\ Wachtwoord instellen
\ Account uitschakelen
N.B. Dit althans onder Vista en Windows 7, ik weet niet of dat onder XP net zo gemakkelijk kon/kan.

Nóg een mogelijkheid waarbij je TweakUI niet nodig hebt, die in ieder geval ook voor XP werkt:
Opdrachtprompt (cmd.exe): net user administrator /active:yes
Inloggen in nu ingeschakelde Administrator-account
Password instellen
Uitloggen
Opdrachtprompt: net user administrator /active:no
27-04-2012, 18:12 door choi
@Spiff

Bedankt voor de aanvulling m.b.t het Administrators account.
Onder het motto 'het gemak dient de mens' heb ik TweakUI genoemd, maar er zijn inderdaad meerdere wegen naar het spreekwoordelijke Rome (de eerste methode die jij noemt werk in ieder geval ook onder XP-Pro).

Er zijn inderdaad voor-en tegenstanders van het activeren van het Admin account. Zelf activeer ik hem altijd (uiteraard voorzien van een sterk wachtwoord).

Wellicht kan daar dan de FUBAR account van worden gemaakt, want je zal toch een account met beheerdersrechten nodig hebben voor als alles onverhoopt in de soep loopt.
27-04-2012, 18:44 door Spiff has left the building
Door choi: [...] je zal toch een account met beheerdersrechten nodig hebben voor als alles onverhoopt in de soep loopt.
Maar daarvoor zal toch ook het standaard aangemaakte account met Administrator-bevoegdheden (in plaats van het standaard uitgeschakelde en verborgen "Administrator" account) kunnen voldoen, of vergis ik me daarmee?
Ik heb me onvoldoende verdiept in SuRun om dat goed te kunnen beoordelen.
27-04-2012, 19:24 door choi
Door Spiff:
Door choi: [...] je zal toch een account met beheerdersrechten nodig hebben voor als alles onverhoopt in de soep loopt.
Maar daarvoor zal toch ook het standaard aangemaakte account met Administrator-bevoegdheden (in plaats van het standaard uitgeschakelde en verborgen "Administrator" account) kunnen voldoen, of vergis ik me daarmee?
Ik heb me onvoldoende verdiept in SuRun om dat goed te kunnen beoordelen.



Het account waar SuRun onder draait wordt door SuRun na de installatie/herstart omgezet in een account met beperkte rechten.

Mocht onverhoopt iets misgaan met het SuRun account waardoor de rechten niet meer kunnen worden verhoogd en je e.e.a niet kan herstellen, dan heb je als uitwijkmogelijkheid het account met beheerdersrechten. Met deze account kan je het corrupte SuRun-account beheerdersrechten geven om e.e.a te herstellen.

Na jouw opmerkingen dacht ik dat het handig zou zijn om hiervoor het verborgen Administrators-account te kunnen gebruiken zodat je niet nóg een account hoeft aan te maken, en ook van de meldingen van SuRun (dat er accounts zonder wachtwoord zijn) af bent.

Ik weet niet of dit je vraag beantwoord.

Voor de duidelijkheid voor andere lezers: ik maak onderscheid tussen het-standaard verborgen- Administrators-account en een account met beheerdersrechten (of zoals Spiff het noemt 'Administrators-bevoegdheden).
27-04-2012, 20:48 door Spiff has left the building
Ik begrijp het, denk ik, choi.
Ik begrijp je overweging het verborgen "Administrator" account in te schakelen en te benutten, mede om daarmee gelijk in een moeite door van de melding dat er een account zonder wachtwoord is af te kunnen komen.
Maar zelf zou ik er wellicht liever voor kiezen om een extra account met beheerdersrechten aan te maken, en het standaard uitgeschakelde en verborgen "Administrator" account uitgeschakeld te laten. Want ik vraag me af of het onder Vista en Win7 wel zo verstandig is om dat account in te schakelen, gezien het feit dat het (als ik me niet vergis) niet hoeft te gehoorzamen aan de beperkingen van UAC. Ik zie liever een administator-account dat wél moet gehoorzamen aan UAC.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.