17-05-2015, 19:34 door karma4: Erik de belangrijkste heb je vergeten. Professionele organisaties gebruiken die automatische updates niet.
Inderdaad, er zijn organisaties die helemaal niet updaten, zie
https://www.security.nl/posting/428897/FBI+waarschuwt+voor+werkwijze+cyberspionnen. Maar ik neem aan dat je dit niet bedoelt.
Ik neem ook aan dat je het met me eens bent dat third party apps kritische (security) kwetsbaarheden kunnen bevatten en soms ASAP geüpdate zullen moeten worden.
Laten we uitgaan van organisaties die
wel updaten, alleen via een enigszins gereguleerd proces. In mijn ervaring betekent dat
ofwel uitsluitend security-kritische updates installeren,
ofwel zelf een klein beetje testen en een paar dagen wachten of er op Internet geen problemen worden gemeld - en dan uitrollen. Software is nou eenmaal zo complex dat je onmogelijk alles kunt testen voordat je updates uitrolt - het blijft gewoon een gok, en rollbacks bieden uitkomst als het een keer fout gaat (helaas wel vaak de laatste tijd). Voor organisaties die "zo goed mogelijk" updaten geldt:
- Met WSUS mag je alles m.b.t. third-party software zelf uitzoeken. Het laatste dat je dan wilt is dat jouw softwareleverancier, achter jouw rug om (okay, "bekendgemaakt" via xbox.com), third-party software installeert waarvan je moet uitzoeken hoe je dat wegkrijgt c.q. de installatie permanent voorkomt, en zo niet, hoe je die software up-to-date kunt houden, in elk geval bij kwetsbaarheden (dat lijkt me verstandig).
- M.b.t. Metro apps: deze horen zichzelf te updaten via de Windows Store. En hoewel Microsoft "regels" heeft opgesteld voor app-makers (
https://msdn.microsoft.com/en-us/library/windows/apps/dn764944.aspx) en, naar verluidt, apps grondig gecheckt worden, staat er een hoop crap in die store (zie
http://www.tomsguide.com/us/microsoft-infested-windows-store,news-19369.html).
Maar laten we ook hier positief zijn en ervan uitgaan dat alles uit de Windows App Store betrouwbaar is. Nu kun je aan kwaadaardige ontwikkelaars vriendelijk vragen of ze niet buiten de Windows store om willen
updaten, maar hoe voorkom je dat als de app internetconnectiviteit heeft? Zie ook 10.2.2 in de eerdergenoemde "regels". Nb. ook bij Android speelde dit:
http://www.cnet.com/au/news/google-no-app-makers-you-cant-skip-the-play-store/.
Na wat Googlen: als je zorgt dat value-name AllowAllTrustedApps de waarde 0 heeft (onder HKLM\\Software\Policies\Microsoft\Windows\Appx\) dan kan de gebruiker, als het goed is, uitsluitend apps downloaden+installeren uit de Windows App Store. En
hopelijk voorkomt dit ook dat updates buiten de app store kunnen worden gedownload. Waterdicht krijg je dit natuurlijk nooit, want als de app een stuk versleutelde code bevat dat pas ontsleuteld en actief wordt als de (toch minder frisse) ontwikkelaar na enkele weken een bestandje met de sleutel vrijgeeft en de app deze downloadt, ben je alsnog de sjaak.
En als je AllowAllTrustedApps de waarde 1 geeft (bijv. omdat jouw organisatie eigen "enterprise" apps maakt), dan kan de gebruiker, als ik het goed begrijp,
elke willekeurige app vanaf elke willekeurige site downloaden en installeren - mits deze een geldige digitale handtekening heeft (Microsoft heeft, na al die jaren, nog steeds niet begrepen dat een digitale handtekening niets zegt over de betrouwbaarheid van een object, anders had ze deze registerwaarde wel AllowAllSignedApps genoemd).
Er "
komt gewoon"? Dat lijkt mij de zoveelste aankondiging uit Redmond waarvan je eerst maar eens moet zien of het aanslaat, wanneer de ergste kinderziektes eruit zijn en of Microsoft dit open source proefballonnetje blijft ondersteunen. Voorlopig zitten we met het huidige update model voor apps:
Samenvatting uit
http://www.infoworld.com/article/2614555/microsoft-windows/microsoft-s-new-security-patching-routine-raises-concerns.html:
- There's no advance warning a patch is coming.
- There's no warning when you install the patch.
- You can't roll the patch back.
- There are no version numbers and no revision history.
- There are precious few details about the patch.
In
http://blogs.technet.com/b/canitpro/archive/2014/02/19/windows-8-1-tips-disabling-automatic-windows-store-app-updates.aspx wordt beschreven je de automatische updates van Windows Apps kunt disablen (alles of niets dus).
Uit
https://support.microsoft.com/en-us/kb/2971128:
When you are connected to the Internet, Windows 8 and 8.1 clients obtain updates to Windows Store apps directly from the Windows Store app (visible on the Windows Start screen).
To update these Windows Store apps on computers that cannot connect to the Windows Store site by using the Internet, Microsoft has a collection of downloadable updates available on the Windows Update Catalog. These updates can be distributed by using System Center, WSUS and third-party equivalents, or slipstreamed into the operating system image that is used by your organization.
The intent of this process is not to bypass the Windows Store, but to enable computers that cannot connect to the Windows Store to update Windows Store apps on a recurring basis.
[...]
Can third-party Windows Store apps be updated by using this process?
No. The developer of the third-party app can make available the package, and it can then be sideloaded (
https://technet.microsoft.com/en-us/library/hh852635.aspx) similar to line-of-business apps.
[...]
M.a.w.,
wel WSUS voor
Microsoft app updates, maar
geen WSUS voor third-party app updates uit de Windows App Store.
17-05-2015, 19:34 door karma4: Voor het MKB is het simpel, ze gaan of in de cloud (b.v. MS Azure)
Wat heeft dat in hemelsnaam met meuk op een desktop PC/notebook te maken waar bijvoorbeeld kleine bedrijven en ZZP-ers hun administratie op doen?
17-05-2015, 19:34 door karma4: Sandboxes is meer iets van de professionele markt.
?
Java applets draaien al jaren in een sandbox (die ziet er ondertussen uit als een fietsbinnenband met heel veel plakkers), Chromium (en afgeleide webbrowsers) gebruiken een sandbox, en Adobe Reader ook sinds v10. En Windows Metro apps draaien in een AppContainer, ook een sandbox.
In
http://www.computerworld.com/article/2498240/operating-systems/why-microsoft-could-let-appcontainer-take-over-windows.html wordt een potentieel
voordeel van sandboxed apps beschreven (vet aangebracht door mij):
You see, the Windows desktop adds significant management and compliance drag. In the U.S., the EU and elsewhere, complex, restrictive laws regulate the Windows desktop environment and add to the challenges with the traditional Windows desktop. The U.S. National Institute of Standards and Technology (NIST) provides a comprehensive list of control points for desktop and laptop operating systems, widely used as a guide for regulators globally. To comply with the U.S. Government Baseline Configuration (USGCB) requirements, for example, means electronically enforcing some 360 control points on a Windows PC, from antivirus to individual Registry settings. That's a lot of work and kills much of the PC's utility. But there is no direct USGCB analog for newer smartphone and tablet operating systems. True, the current NIST guidance calls out roughly 63 control points for them, but most are pretty simple to enforce, such as requiring a device lock passcode for device configuration to be considered adequate.
But here's the thing: A Windows 8 tablet still falls under the NIST guidelines for a full desktop or laptop OS because the Windows desktop environment makes it a PC. But I'd bet my mom's Tupperware that the Windows 8 AppContainer on its own (without the Windows desktop) would fall under the lighter compliance requirements for a mobile OS because it is its own self-contained execution environment. In other words, if Microsoft could see enough applications for AppContainer to make a Windows device valuable and desirable without the Windows desktop, it could strip out the Modern UI and probably get out from under the audit controls that currently apply to the PC.
Da's mooi, maar als een door een gebruiker gedownloade app om allerlei privileges vraagt en de gebruiker dat niet begrijpt/geen zin heeft om te lezen, en dus "ja" klikt, staat de deur alsnog open.
Bovendien: het idee van sandboxed apps staat alweer op de helling... Mogelijk omdat het aantal bruikbare apps in de store te ver achterblijft bij Google en Apple, heeft Microsoft de distributie van "gewone" Win32 desktop applicaties via de Windows Store aangekondigd: volgens
http://www.theregister.co.uk/2015/05/06/windows_10_project_centennial/?page=2 zullen die
niet meer in een sandbox zoals AppContainer draaien. Uit die pagina (vet deels aangebracht door mij):
Oops, no sandbox
Project C apps are not sandboxed in the same way as Universal Apps, though they are a little more restricted than traditional Win32 applications.
[...]
The auto-update mechanism is also smart, he said, so that only changed files, or potentially just the difference between a file and its new version, gets downloaded.
Security is the big weakness of Project C. "Early on we erred on the side of not doing it, but we trust you guys," Sheehan told developers at Build, somewhat through gritted teeth. A malicious Project C app could do damage, though it has to get through Microsoft's approval procedures before it can be listed in the Store. "We have kill-bit mechanisms," Sheehan added, in the case that malware slipped through.
[...]
Als deze "Win32 Apps" daadwerkelijk de beschreven rechten gaan krijgen (dus buiten een sandbox draaien) zie ik niet hoe je kunt voorkomen dat goedaardige apps, oorspronkelijk uit de Windows Apps Store, later kwaadaardige
executable aanvullingen "sideloaden" (dus niet via de Windows App Store). Fijn te weten (not) dat er wel een killbit zal komen nadat je bestanden door "slipped through" ransomware zijn versleuteld.
Kortom: de grens van wat Microsoft op een gemiddelde PC acceptabel vindt (tussen beveiliging/verlagen van risico's en het geven van mogelijkheden aan software, inclusief spelletjes), gaat als een jojo heen en weer. En door 1 Windows voor alle devices aan te kondigen (
http://www.neowin.net/news/nadella-talks-about-windows-vnext-one-converged-operating-system) en nu Candy Crush op (naar verluidt) elke Windows 10 variant mee te leveren/na installatie te pushen, versterkt Microsoft het beeld dat ze lak heeft aan zakelijke gebruikers.