Tot voor kort was Vista de meest veilige cliëntversie van het Windows besturingssysteem en Windows 7 gaat verder waar Vista gebleven was. Op het gebied van beveiliging zijn de nodige verbeteringen doorgevoerd. Volgens Microsoft is ook naar gebruikers geluisterd om de gebruikservaring te verbeteren, zodat ze de beveiligingsopties intuïtief en gebruiksvriendelijk konden laten zijn. De vraag is: wat is nu echt verbeterd in Windows 7? We hebben gekeken naar de Engelstalige RTM.

Basis systeembeveiliging

Net als bij Windows Vista heeft Microsoft gekozen voor de ontwikkeling van Windows 7 volgens de Security Development Lifecycle. Dat wil zeggen dat het besturingssysteem vanaf de grond af is opgebouwd om zo veilig mogelijk te zijn. Bekende securityfeatures zijn Kernel Patch Protection, Data Execution Prevention (DEP), Address Space Layout Randomization (ASLR) en Mandatory Integrity Levels. Deze onderdelen vormen een vaste basis in de verdediging tegen malware en aanvallen van buiten. Een paar sleutelonderdelen zijn het waard om dieper op in te gaan.

Verbeterd UAC

Vele gebruikers zijn (al dan niet op negatieve wijze) reeds bekend met UAC, oftewel User Account Control. Deze beveiliging werd geïntroduceerd in Vista om bepaalde onderdelen voor gebruikers uit te schakelen zodat het voor organisaties gemakkelijker was om het OS te implementeren zonder iedereen gelijk administratorrechten toe te kennen. Met UAC had Microsoft eigenlijk de intentie om softwareontwikkelaars te dwingen betere code te schrijven, die niet telkens verbinding wilde maken met gevoelige delen van het besturingssysteem. De meeste gebruikers zien UAC echter als irritante ‘feature’.

De meeste IT’ers denken bij UAC aan dialoogvensters die gebruikers vraagt om een applicatie wel of geen toestemming voor een veelgebruikte handeling te geven. Maar sinds de introductie van Vista heeft Microsoft veel verbeteringen in UAC doorgevoerd, zodat die dialoogvensters minder vaak te zien zijn (of doordat standaardgebruikers überhaupt bepaalde taken niet uit kunnen voeren). Toch blijft UAC onderwerp van spot als het gaat om Vista.

In Windows 7 heeft Microsoft het aantal applicaties en taken dat het dialoogvenster naar voren brengt verder teruggebracht. Ook is de userinterface van UAC gemakkelijker gemaakt. In User Accounts kan het via Change User Account Control Settings aangepast worden. Met de sleepbalk kan UAC in vier standen worden gezet, variërend van Always Notify (vergelijkbaar met de UAC in Vista) tot Never Notify, waarmee UAC niet uitschakeld wordt, maar wel de dialoogvensters verdwijnen. Zaken als Protected Mode Internet Explorer, ook een onderdeel van UAC, blijven hiermee op de achtergrond actief.

Scans van vingerafdrukken

Veel Windows-gebruikers stellen hun machine in voor gebruik zonder dat ze in hoeven te loggen met een gebruikersnaam en wachtwoord. Eigenlijk is dit het computerequivalent van het openzetten van je deur met daarboven een neonbordje ‘Ingang’. Het is sterk aan te raden om alle gebruikersaccounts in Windows 7 te voorzien van een sterk wachtwoord, bestaande uit zowel letters als cijfers.

Toch zijn ook de meest sterke wachtwoorden te kraken. Het is niet de vraag of, maar wanneer een hacker het wachtwoord dat hij wil hebben gekraakt heeft. Beveiligingsexperts raden aan om twee lagen beveiliging aan te brengen. Veel computers, met name laptops, zijn tegenwoordig voorzien van biometrische beveiliging in de vorm van een vingerafdrukscanner. Windows 7 biedt hiervoor betere integratie met het besturingssysteem.

Allereerst is de driverondersteuning verbeterd, waardoor vingerafdrukken nauwkeuriger gescand worden. Het instellen van een vingerafdrukscanner voor het inloggen in Windows 7 is gemakkelijk. Ook applicaties en specifieke websites kunnen voor gebruik met een fingerprint reader geconfigureerd worden. Klik op Biometric Devices in het configuratiescherm om de console voor het beheren van biometrische instellingen en vingerafdrukdata te starten. In de console worden na het starten gedetecteerde biometrische apparaten weergegeven. Als de scanner nog niet is ingesteld, verschijnt de melding ‘Not Enrolled’. Wanneer op deze status geklikt wordt, kan de console benaderd worden.

Het is mogelijk om scans te maken van aparte vingers of gelijk van alle tien. Het toevoegen van meerdere vingers maakt het mogelijk om de andere hand te gebruiken wanneer een vinger verbonden is of als de arm in een mitella ligt. Selecteer op het scherm welke vinger je wilt toevoegen en plaats hierna de vinger op de scanner (of strijk de vinger langs de lezer, afhankelijk van de gebruikte hardware). De vinger moet drie keer worden gescand voordat deze in de database wordt geregistreerd. Dit is ongeveer hetzelfde als het bevestigen van een wachtwoord bij een reguliere aanmelding.

Beveiligen van data

Duizenden computers, in het bijzonder laptops, worden jaarlijks gestolen of raken zoek. Als niet de nodige maatregelen getroffen zijn, is het voor ongeautoriseerde gebruikers gemakkelijk om gevoelige data op te vragen. Bij gebruik van usb-sticks en andere draagbare media is het risico nog een stuk groter.

Net als Vista gebruikt ook Windows 7 verschillende technologieën om data te beveiligen, zoals bijvoorbeeld EFS (Encrypting File System). Ook biedt het ondersteuning voor zaken als AD RMS (Active Directory Rights Management Services). Deze onderdelen zijn in Windows 7 een klein beetje geüpdate. De grootste veranderingen zijn doorgevoerd in de BitLocker-technologie, die het versleutelen van harde schijven mogelijk maakt. Zo is bijvoorbeeld BitLocker to Go een nieuwe toevoeging in Windows 7. Hiermee wordt het mogelijk om data te versleutelen op draagbare media.

Versleutelen van data met BitLocker

Toen BitLocker werd geïntroduceerd, tegelijkertijd met Windows Vista, was het enkel mogelijk om de primaire partitie van het besturingssysteem te versleutelen. De komst van Service Pack 2 (SP2) breidde de functionaliteit uit naar andere partities en schijven, maar het was nog steeds niet mogelijk om ook draagbare media te versleutelen. Bitlocker to Go maakt het mogelijk om versleuteling toe te passen zonder dat de mogelijkheid vervalt om data te delen met partners, klanten en andere vertrouwde derden.

Voordat BitLocker Drive Encryption kan worden gebruikt, moeten de schijven van de computer op de juiste manier worden gepartitioneerd. Windows heeft een kleine, onversleutelde partitie nodig om de systeembestanden te benaderen die worden gebruikt in het opstartproces van de computer en het benaderen van versleutelde partities. De meeste gebruikers houden daar bij het partitioneren geen rekening mee, dus heeft Microsoft een tool bedacht waarmee je data kan overzetten en waarmee je de schijf zo kan herpartitioneren dat die klaar is voor versleuteling. Deze tool, de BitLocker Drive Preparation Tool, kan gedownload worden vanaf de site van Microsoft.

Zodra de schijf correct is gepartitioneerd kan deze worden ingesteld voor gebruik met BitLocker. Klik op BitLocker Drive Encryption in het configuratiescherm om de tool te starten. De console geeft alle beschikbare schijven en de huidige staat ervan weer. Wat opvalt is dat het systeem vaste en draagbare media automatisch scheidt. Klik voor het versleutelen van een medium op Turn on Bitlocker naast een beschikbare onversleutelde schijf. De tool vraagt dan van je dat je een wachtwoord ingeeft voor het benaderen van de data. Ook is het mogelijk om de gebruiker via een Smartcard te verifiëren. Hierna geeft BitLocker de mogelijkheid om een zogenaamde Recovery Key op te slaan. Dat kan als tekstbestand, maar printen is ook mogelijk. Deze key is nodig om de data te benaderen of om de schijf te herstellen wanneer het verifiëren om de een of andere reden mislukt.

Als het proces eenmaal begonnen is kan Windows gewoon verder gebruikt worden, want de tool versleutelt de data in de achtergrond. Nadat de schijf is versleuteld, kun je onder Manage Bitlocker voor kiezen om de versleutelde schijven toegankelijk te maken bij het inloggen.

Bitlocker zonder TPM

Standaard gebruikt BitLocker een Trusted Platform Module (TPM)-chip die sleutels van het programma opslaat en helpt bij het ver- en ontsleutelen van data op de computer. Maar veel computers zijn (nog) niet met zo’n chip uitgerust. Toch is het mogelijk om BitLocker te gebruiken, al is dit niet altijd even makkelijk. Om BitLocker zonder TPM-chip te gebruiken, moeten de volgende stappen worden uitgevoerd:

1. Klik op Start / het Windows-logo links onderin Windows 7

2. Voer in het veld ‘Search Programs and Files’ onderaan gpedit.msc in en druk op Enter.

3. Ga vanaf Computer Configuration naar Adminstrative Templates, Windows Components, BitLocker Drive Encryption, Operating System Drives

4. Dubbelklik op de optie Require additional authentication at startup

5. Selecteer de optie Enabled bovenaan en vink Allow BitLocker without a compatible TMP check aan

6. Klik op OK

Data beveiligen met BitLocker to Go

Binnen Windows Vista was het niet mogelijk om draagbare media te versleutelen. Windows 7 neemt dat gemis weg met BitLocker to Go.

Belangrijk is om tijdens het versleutelen van de data op een usb-stick of externe schijf, deze nooit te verwijderen. Gebeurt dit wel, dan is het heel goed moegelijk dat de data op het medium onherstelbaar beschadigd raakt. Moet de computer toch uitgezet worden of moet de stick echt even verwijderd worden, klik dan op de pauze-knop tijdens het versleutelproces.

Als je een versleutelde usb-stick deelt met iemand anders, kan deze voorzien worden van een wachtwoord dat dan natuurlijk ook bekend kan worden gemaakt aan die ander. Voor aanvullende beveiliging is het mogelijk om een smartcard te vragen voordat data benaderd kan worden. Stel dat de stick verstuurd wordt, dan is het bijvoorbeeld mogelijk om deze apart van de smartcard te versturen.

Verder geeft BitLocker to Go de mogelijkheid aan beheerders om te bepalen hoe de draagbare media kan worden gebruikt. Via Group Policy kunnen beheerders onversleutelde media ‘read-only’ maken en eisen dat eerst BitLocker wordt gebruikt voordat gebruikers data kunnen opslaan.

Bron: Techworld