Windows 8.1 heeft sinds vorige maand geen reguliere ondersteuning meer. Dus ben je vanaf nu afhankelijk van de wil van Microsoft om bugs als veiligheidsprobleem te erkennen en er fixes voor uit te brengen.

Het is voor ons onmogelijk te zien wat je configuratie is, maar een standaard configuraties is zelden veilig genoeg, ook al heb je de laatste fixes. En het is natuurlijk onnodig te zeggen, maar een slechte securitykey op je wifi gaat je ook niet redden.

Windows 8.1 krijgt gewoon nog security updates tot 10 januari 2020.

"During mainstream support, which ended January 9, Microsoft provided security and non-security updates and accepted requests for product changes. Extended support means that the average Windows 8.1 user will only receive security updates."

Goedendag,

Hoewel een ongeveer gelijke kernel, gaat het hier om Server 2012 R2, niet om Windows 8.1. Extended support ( = security updates) lopen tot 2023.

Ik begrijp heel goed dat je afhankelijk bent van hoe eventueel ontdekte lekken worden gepatcht en dat dit in het jaar 2040 niet meer gaat gebeuren ;)

Het ging mij erom of iemand weet of er lekken bekend zijn in de WiFi-stack van Windows/slechte reputatie is. Of eigenlijk gewoon heel erg goed is.

Frank

Is wifi met WPA2?
Je hebt tóch AD dus je zou evt. kunnen kijken naar Radius.

/offtopic
Nu je toch bezig bent, kan je ook WSUS installeren.
Voordelen:
  1x alles downloaded i.p.v. iedere pc voor zich;
  zelf updates + tijd approven zonder dat dit door MS wordt doorgedrukt;
  bij reinstall van een pc hoeft je niet alle updates van MS te downloaden maar vanaf je server wat stuk sneller gaat.

/nog meer offtopic
Je hebt DNS. Denk ook even aan sinkhole.
https://cyber-defense.sans.org/blog/2010/08/31/windows-dns-server-blackhole-blacklist

Leer eens verder lezen dan de eerste zin van een reactie.

Goedendag,

Bedankt mcb. Ja, WPA2. Ja, AD zit erop, de Update Service is inderdaad een van de dingen waarom ik graag ActiveDirectory heb. Maar dat was inderdaad off topic. :)

Ben benieuwd of aankomende week nog iemand iets te vertellen heeft over hoe lek de WiFi-stack van Windows is.

Frank

Leer eens meer quoten dan wat je uitkomt :]

Er zijn momenteel geen problemen momenteel. Maar een nadeel van software is.... Dat is nu het geval. Of er de toekomst "bugs" gevonden worden, is natuurlijk een mogelijkheid,

Afgezien er in wat wifi netwerkkaarten van broadcom issues zijn. Maar volgens mij is dat OS onafhankelijk.

Wat wel een issue kan zijn. Multihomed domain controllers zijn nooit erg praktisch.

De veiligheid ligt in de meeste gevallen niet aan het OS maar aan de beheerder..
Ik zou me geen zorgen maken als ik jou was..

Wel denk ik dat je misschien, uit stroomkosten oogpunt, misschien een oplossing kunt bouwen die minder stroom verbruikt.. :)

Ik lees over 2 internet aansluitingen, dus ik ben benieuwd hoe je in die omgeving policy routing doet.
Is daar een of andere 3rd party add-on voor ofzo? Want bij mijn weten kan Windows dat niet.
Bij OpenBSD of Linux is het geen probleem...

Het memory management van Microsoft stacks laat veel te wensen over.

Deze exploits zijn erg lucratief. Closed source exploits /bugs leveren meer geld op wanneer ze onbesproken worden gedeclareerd bij leveranciers, dan wanneer ze gedeeld worden, beduidend zelfs, dus bij delen van informatie zijn betalen leveranciers vrijwel niets meer.

Daarnaast zijn ze ook in het criminele circuit erg lucratief en zeer veel minder gedeeld dan open source exploits of alleen bugs. Vanwege closed source is men meer tot vrijwel alleen afhankelijk van reverse engineering methodes wat het nogal veel meer tijdrovend werk maakt daar bugs in te vinden en verder te exploiteren. Ook hier worden bekende gaten dus liefst jaren en jaren geheim gehouden.

Bij inlichtingendiensten spreekt het ook voor zich zo min mogelijk te delen. In toename van huidige informatie oorlog wordt zelfs met partners mondjesmaat gedeeld om 'marktpositie' te behouden, vriendschappelijk verzoeken ingewilligd te zien. De burger protesteert alleen maar, faalt al bij open 'politiek' over het algemeen aansprakelijk te houden dus daar storen inlichtingendiensten zich eenvoudigweg niet meer aan, hebben ze overigens voor een deel ook écht geen tijd voor.

Er zijn meerdere hele dikke gaten en bugs bekend, vooral in brakkig memory management. Alhoewel Microsoft haar memory management wel beoogd te verbeteren en de brakkigheid achter allerlei fancy ontwikkelingen als device guard, certificate pinning, dep, sehop, aslr verstopt, is zelfs een sterk geconfigureerde 2012 R2 bedroevend zwak tegenover een behoorlijk geconfigureerde Ubuntu met maar de halve hardware sterkte van de Windhoos bak. Niet alleen op load management, ook werkelijk memory management van stack implementatie, key buffers maar ook NIC buffers zeg maar. met radius ook beter geen microsoft. en ciphered udp verkeer is ook al huilen.

Active directory (over het web) is helemaal om te huilen, niet bij standaard huis tuin en keuken gebruik, en ook zeker beduidend minder in een VPN, SSL of SSH tunnel gewrapped, maar wél bij professionals.

Bewijs ligt er niet veel vanwege bovengenoemde redenen, vraagt u zich maar af waarom MS zelf zo weinig gebruik maakt van haar eigen OS bij server or router appliances, waaronder ook wifi ap mogelijkheden.

Oh en vind wat u vind, gerust, want voor huis tuin en keuken gebruik is MS prima hoor, wat meer kostbaar maar minder tijdrovend dan linux voor de technologisch minder bedeelden onder de mensen alleen toch zou ik linux aanraden zelfs voor technisch minder bedeelden want ach ja, geen klagen over kwaliteit zoekmachines tegenwoordig al helemaal niet en voor het meeste handleiding voorhanden, dan is linux niet alleen goedkoper maar ook sterker/betrouwbaarder.

Beste beatnix, heb je gelezen wat TS schreef? Daar staat niets over linux (en terecht, OpenBSD is een heel andere klasse Operating System uit het oogpunt van veiligheid).

Beste TS, waarom denk je dat Windows (general purpose operating system met nadruk op gebruikersgemak) veiliger is dan een operating system dat is ontworpen met veiligheid als achtergrond? Waarom denk je dat er zoveel exploits en exploitkits in omloop zijn voor Windows (kijk naar de gelekte NSA meuk) en niet voor OpenBSD?

Leef je vooral uit met Windows als dat je plezier oplevert, maar ga er niet van uit dat het veiliger zou zijn dan OpenBSD. De exploit historie is duidelijk in het voordeel van laatstgenoemde.

Tenslotte, het is al eerder opgemerkt, het valt of staat met de kwaliteiten van de beheerder.... Overigens twijfel ik aan je verhaal over 'professional zijn' met betrekking tot Open- en FreeBSD. Je noemt net even te makkelijk NAT en firewall als 1 ding. NAT is geen firewall, en is dat ook nooit geweest. Microsoft heeft een historie van open poorten ten behoeve van beheer ondanks firewall (3389 als notoir voorbeeld). Dat had je moeten weten. Je herinnert je ook de epic fail van Microsoft nog over firewalling en dan IPv6 compleet vergeten? Klinkt als een betrouwbaar product...

Altijd fijn, een stortvloed van woorden en meningen, zonder enige vorm van structuur en bronvermelding :-)

Precies want bij 'hekkies' van de belabberde kwaliteit van tegenwoordig moet men kennelijk steeds andermans fundament voor een mening hebben. Stel dat er baanbrekende ontwikkelingen zijn, op de top van grass roots security, dan is daar om verschillende redenen nog niet andermans reden in pdf formaat bij aanwezig, en moeten 'hekkies' t lekker zelf uitzoeken! maar dat wat zich dan professional noemt, blijft liever dom en weet helemaal niets! het bewijst ook dat met name deze 'professional' hekkies bijvoorbeeld kennelijk niet van geheimhoudingsclousules hebben gehoord, zegt wat over niveau van expertise, wat ik u brom! en uiteraard is de beste code zeer gestructureerd met een bult aan comments, maarnietheus, want de beste en meest sterke ingenieuze code ziet er wel vaker als een single regel cipher tekst uit, heb je wel eens aan die perl improvement matches meegewerkt bijvoorbeeld?

altijd fijn, van die hekkies die niet eens kunnen lezen dat ik TS niet 'betichtte' linux te gebruiken, dat dat ook niet is wat ik geschreven heb. alsof ik het verschil niet zou weten tussen Linux SYSV en de BSDOS implementatie ervan, berkely derivaat, en dus userland / core scheiding. weten jullie trouwens al waarom BSDOS niet zo geschikt is als desktop os? trouwens is de hardware in veel opzichten net zo belangrijk als de software hoor, daarom zijn dikke firewalls /routers bijvoorbeeld zo duur. een dikke standaard openbsd box op een standaard lenovo configuratie is daarom onveiliger dan een standaard ubuntu met superdikke (en dus kostbare) hardware, bv dikke risc cpu chip. klets dus niet uit je nekharen, zou donner zeggen, als het ergens over gaat.

en voor de structuur moet je bij engelfried zijn, dat kunnen die advocaten, en dan vooral wat duiten vriendelijk glimlachend laten rollen, die man heeft graag bio+ volkoren brood zoals het mij voor mag komen.

Beste beatnix, misschien kun je beter eerst leren wat BSD inhoudt, en wat Berkeley (met ey, weet je al waar het ligt?) is. Kijk dan ook eens naar BSD/OS (wat weer wat geheel anders is dan OpenBSD, FreeBSD of NetBSD), oftewel BSDi (hint, die was gesloten en commercieel). Je geeft duidelijk aan inhoudelijk niet te begrijpen waar het over gaat. Maak eerst je opleiding af, ga dan aan het werk, en kom dan, als je wat ervaring hebt, terug op een forum voor professionals. Je hoort hier niet thuis.

Zoals anoniem 15:40 van vandaag al opmerkt: een stortvloed van woorden en meningen zonder enige vorm en bronvermelding. :) Ik sluit me daar bij aan.

Je hebt wel veel HW staan. 1e Wat in mij op kom "wat ben je allemaal aan het doen?"
Maar goed, ik heb een paar jaar terug ook een redesign gedaan vanuit energie oogpunt.
Eerst gekeken wat echt nodig is, en ben overgegaan op een Mikrotik router met daarop een Raspberry pi (gevoed vier de USB van de router) en een Synology nas.
Okay, een pi is niet snel, maar ik een nas om heen te werken. In "rust" ongeveer 15 Watt, Bij gebruik +/- 25 Watt. De nas verbruikt nog het meest.
Nas: denk niet gelijk in producten, ontwerp vanuit behoefte en kies dan HW/SW

Een hoop tekst, maar eigenlijk niets nuttigs waar TS iets aan heeft.

Hoop... Eigenlijk staat hier ook bijna niets nuttigs en helemaal eigenlijk niets onderbouwd.

Ik heb geen idee wat je nu hier precies probeert duidelijk te maken. Behalve dat ik de indruk krijg dat je het zelf niet helemaal snapt hoe het in elkaar zit en wat TS eigenlijk vraagt.

??? En dit heeft te maken met de vraag van TS???

4 posts, die helemaal nergens met de vraag van TS te maken hebben. Zelfs niet een klein beetje.
Sorry dat ik het zeg, maar daar heb je wel eens vaker last van. Dit is juist een prachtig voorbeeld.

Uh oh. Het lijken hier wel de koekhappers van peijnenburg, deze 'anti phishing' 'sharkies'.

@Anoniem, 19/2 22:33;

Wie zegt dat ik niet weet wat BSD inhoud, of BSDi niet zou kennen? En dat op grond of ik Berkeley juist zou spellen? Weet jij waarom het verschil tussen BSD en Linux vooral de scheiding tussen userland / kernel is en wat dat te maken heeft met bijvoorbeeld Posix SYSV implementaties? Je geeft duidelijk aan niet te weten, inhoudelijk, waar het over gaat. Praat jij maar niet zoveel na, wat ze tegenwoordig met allerhande opleidingen mensen vooral leren, in plaats van werkelijk iets te weten, bevestigd door inmiddels zelfs wetenschappelijke data. Hou je mond dicht op een open forum over wie hier thuis hoort of niet, je hebt praktisch niet een enkel steekhoudende reden genoemd, en dat tegen mijn contributies in, 'professional'.

Een stortvloed van onzin, en vooral als ze zelf niet weten waar ze het over hebben. En dan als een stel 'duckies' achter elkaar gaan staan grienen en wijzen. Daar sluiten een aantal echte 'sharkies' die jij niet ziet maar die jou wel zien, zich bij aan. En trouwens, you are successfully phished, did you even realize that? Wie weet scheelt je dat weer wat geheimhoudingsclausules, dus opdrachten en geld, met dat je bewezen hebt dat wat zich voor 'politiek' uitgeeft kennelijk deels gelijk heeft met je 'de domme burger' bewijzen. Terug naar wat gepubliceerd wordt en mag worden, buiten de onderzoekers om die in de jaren tachtig al vermoord werden o.a. vanwege publiceren wat aanhoudende straling in het GSM spectrum met de celstructuur van planten doet (Zwitserland), en dus niets weten.

P.s. als je met BSD speelt, ook met BSDi, kijk vooral naar control charachters, blijft een hot topic.

@ThaCleaner, 11:52;


Ga jij maar eens bij bugtrack kijken waar de meeste exploits aangaande MS netwerk stack over gaan, oeps, brakkig memory management. Google meteen even wat een van de meest belangrijke minpunten van MS hardware besturing bevonden wordt door professionals, oeps, brakking memory management. MS timmert aan de weg, daar niet van, alleen vooral pleisters op de wonde. En daar zou TS wel wat aan moeten hebben in dit topic, nietwaar?


Zou ik nu moeten onderbouwen dat een standaard Ubuntu als Access Point sterker is dan Microsoft doos? Waarom draaien allerhande AP's en repeaters, Motorola maar ook goedkopere Engenius allemaal posix compliant cores? DD-WRT of Tomato op Windows? Ooit gezien? Geeft toch te denken als dat minstens vergelijkbare stack zou betekenen, nietwaar? Google is your friend. Staat dus best duidelijk wat nuttigs, en als ik dat moet onderbouwen wat hier aan informatie bij voorhanden is via Google suggereer ik diegene eenvoudig een kant en klaar, click n go hardware product aan te schaffen of Windows te installeren.


Bedankt voor het prachtige voorbeeld, ik moet zeggen dat je je attent opstelt bij tijd en wijle, wat ik op prijs mag stellen.

Op initiële, best constructieve en informatieve, post na reageerde ik voornamelijk op anderen. Dat men tegenwoordig alleen met bronvermelding participatie wil overwegen trekt namelijk niveau discussie in security branche nogal onderuit, het merendeel wat daar namelijk spannend is, is nog niet met vele bronnen uitgele(k/g)t beschikbaar. Lees overigens rustig nog eens, want er mag best wat inhoudelijk reageren op TS bij mijn initiële contributie gevonden worden, naar mijn bescheiding mening, alleen wat kort, ach ja, TS is bekend met hoofdlijnen materie zoals ik mag aannemen.

Toch heb je wel een fijn punt. Dat is dat ik af en toe bijdehand mag reageren, onduidelijk schrijf met soms wel ronduit belabberd te noemen schrijfstijl. Met haast of hoe dan ook. Maakt u zich geen zorgen, ondanks dat ik eerst meteen wat voelde borrelen vanwege de enorme hoeveelheden aanvallen die ik verhoudingsgewijs te verwerken krijg, ook buiten dit forum (pff), hoeft u geen sorry te zeggen, ik heb liever dat mensen zeggen wat ze denken dan via mooi lijkende verbloemend taalgebruik in werkelijkheid er denigrerend geen snars van snappen (daar mag ik overigens ook wat zijdelings onderzoek naar doen, belangrijk op zoek naar kwaliteit bijvoorbeeld, en het geld wat men beoogd ervoor te betalen). In het vervolg mag ik dan ook beogen meer aan de hand van uw kritiek te participeren.

Het gebruikelijke bashing van OS'en waarvan je wist dat het komen zou.

Ik zie OP zich verkneukelen over deze OS flamewar die hij gestart is met een onschuldige vraag.

Mijn versie van Free Berkeley Software Distribution is toch wel een heel stuk makkelijker en gebruikersvriendelijker en draagt de naam High Sierra ;)
Het kost wel wat die blingbling maar dan heb je ook wat.