Longhorn: minder rechten, meer versleuteling
Gepubliceerd: Woensdag 6 juli 2005
Auteur: Edmond Varwijk
Windows moet veiliger, vindt Microsoft. Daarom krijgt Longhorn onder meer de mogelijkheid de gehele harde schijf te versleutelen, inclusief de bootpartitie.
Eerder werd al bekend dat gebruikers van Internet Explorer 7.0 het met minder rechten moeten doen, ook de gewone gebruiker gaat er onder Windows Longhorn op achteruit. Dit is naar voren gekomen op de TechEd 2005, die momenteel in de Amsterdamse Rai wordt gehouden.
'Least-Privilege User Account' (lua) is de van Unix en Linux bekende gewoonte om niet standaard met administrator-rechten een computer te gebruiken, maar deze alleen kortstondig toe te eigenen als dat nodig is. Onder Longhorn is iedere gebruiker standaard geen administrator meer, maar kan wel kortstondig zijn rechten ophogen.
Lua heeft ook gevolgen voor het grote aantal applicaties dat administrator-rechten vereist om te werken. Microsoft gaat de eisen voor software-certificering daarom aanpassen. Alleen programma's die ook zonder administrator-rechten probleemloos werken komen in aanmerking voor een Longhorn Logo-certificaat.
Om de compatibiliteit met oudere applicaties te behouden zal Longhorn nog meer dan XP delen van het bestandssysteem zoals de map Program Files en het Windows-register, virtualiseren. De applicatie kan dan wel de gewenste wijzigingen uitvoeren maar verandert feitelijk niets aan het besturingssysteem.
Anti-malware
Verder zal Longhorn tijdens een upgrade-installatie het bestaande systeem scannen op virussen en malware en deze eerst verwijderen, alvorens de upgrade te starten. Longhorn moet zo altijd met een stabiel en schoon systeem van start gaan, zo vertelt Steve Hiskey, Lead Program Manager bij Microsoft.
Met Network Access Protection kunnen bedrijven bovendien iedere pc die zich op het netwerk aanmeldt, eerst controleren op anti-virus- en anti-spyware-software en pas daarna tot het eigenlijke netwerk toelaten. Onduidelijk is nog wat er gaat gebeuren met het login-scherm.
Volgens Hiskey is alleen een wachtwoord eigenlijk niet meer voldoende en zou toegangscontrole in combinatie met bijvoorbeeld een smartcard eigenlijk standaard moeten zijn. Of en hoe dit gaat gebeuren, is nog niet duidelijk, behalve dat de login-module volledig herschreven is en het toevoegen van een smartcard of biometrische beveiliging weinig meer behelst dan het toevoegen van een plugin aan de Windows Logon-module (GINA).
Volledige encryptie
Voor mobiele gebruikers is het interessant om de hele harde schijf te versleutelen inclusief de bootpartitie. Longhorn gaat hiermee een stuk verder dan Windows XP, dat alleen individuele mappen kan versleutelen. Voor bedrijven komt er een module voor centraal key-management en het herstellen van de toegang tot een harde schijf indien de sleutel verloren is gegaan.
Microsoft is echter niet van plan een geheime decrypt-optie in te bouwen voor het geval de recherche toegang wil krijgen tot een versleutelde harde schijf in het kader van een politieonderzoek. Het belang van haar zakelijke klanten die om een sterke versleuteling van gegevens op mobiele apparaten vragen, krijgt de voorrang, aldus Hiskey.
