Maar hoe veilig is de standaard beveiliging van Windows 8 nu eigenlijk en welke nieuwe beveiligingsfuncties zijn er geïntroduceerd in Windows 8. In dit artikel gaan we hier dieper op in.
Building "Windows 8": Protecting you from malware
Windows Defender
Achter Windows Defender gaat het bekende Microsoft Security Essentials (MSE) schuil, eigenlijk is Windows Defender niets meer dan een basis beveiliging voor uw computer, het biedt namelijk geen aanvullende beveiliging zoals een gedragsbewaking waarmee onbekende malware waar nog geen virusdefinities beschikbaar voor zijn toch gedetecteerd kunnen worden.
Windows Defender werkt dus geheel op basis van virusdefinities, dit is dan ook gelijk de voornaamste reden dat Windows Defender erg weinig "False Positives" kent.
Windows Defender wordt dagelijks éénmaal per 24 geüpdatet, in combinatie met het ontbreken van een techniek als gedragsbewaking resulteert dit in het feit dat Windows Defender erg slecht scoort op het detecteren van nieuwe / onbekende "zero-day" malware. Windows 8 Smart Screen
Zoals eerder al vermeld was de SmartScreen-filter bij de voorgaande Windows versies alleen beschikbaar in Internet Explorer. Echter is de SmartScreen functionaliteit in Windows 8 geheel in het besturingssysteem zelf geïntegreerd.
Deze functionaliteit houdt in de gaten welke applicaties er vanaf het internet worden gestart en of worden gedownload. Bij twijfelachtige software waarvan er geen reputatie bekend is krijgt de gebruiker een melding waarna je afhankelijk van de instellingen van SmartScreen toestemming kunt geven om het betreffende programma alsnog uit te voeren.
In de basis is SmartScreen eigenlijk een aanvulling op Windows Defender die nieuwe en onbekende malware blokkeert voordat deze op het systeem uitgevoerd kan worden, alle bestanden worden aan de hand van een set richtlijnen gecontroleerd op de server van Microsoft waar de reputatie van een bestand wordt vastgesteld. Op basis van onder andere de hoeveelheid download wordt vastgesteld of een bestand al dan niet kwaadaardig is.
Op de onderstaande link staat beschreven hoe u de instellingen van SmartScreen kunt aanpassen en of uitschakelen.
Windows Defender
Achter Windows Defender gaat het bekende Microsoft Security Essentials (MSE) schuil, eigenlijk is Windows Defender niets meer dan een basis beveiliging voor uw computer, het biedt namelijk geen aanvullende beveiliging zoals een gedragsbewaking waarmee onbekende malware waar nog geen virusdefinities beschikbaar voor zijn toch gedetecteerd kunnen worden.
Windows Defender werkt dus geheel op basis van virusdefinities, dit is dan ook gelijk de voornaamste reden dat Windows Defender erg weinig "False Positives" kent.
Windows Defender wordt dagelijks éénmaal per 24 geüpdatet, in combinatie met het ontbreken van een techniek als gedragsbewaking resulteert dit in het feit dat Windows Defender erg slecht scoort op het detecteren van nieuwe / onbekende "zero-day" malware. Windows 8 Smart Screen
Zoals eerder al vermeld was de SmartScreen-filter bij de voorgaande Windows versies alleen beschikbaar in Internet Explorer. Echter is de SmartScreen functionaliteit in Windows 8 geheel in het besturingssysteem zelf geïntegreerd.
Deze functionaliteit houdt in de gaten welke applicaties er vanaf het internet worden gestart en of worden gedownload. Bij twijfelachtige software waarvan er geen reputatie bekend is krijgt de gebruiker een melding waarna je afhankelijk van de instellingen van SmartScreen toestemming kunt geven om het betreffende programma alsnog uit te voeren.
In de basis is SmartScreen eigenlijk een aanvulling op Windows Defender die nieuwe en onbekende malware blokkeert voordat deze op het systeem uitgevoerd kan worden, alle bestanden worden aan de hand van een set richtlijnen gecontroleerd op de server van Microsoft waar de reputatie van een bestand wordt vastgesteld. Op basis van onder andere de hoeveelheid download wordt vastgesteld of een bestand al dan niet kwaadaardig is.
Op de onderstaande link staat beschreven hoe u de instellingen van SmartScreen kunt aanpassen en of uitschakelen.
Protecting you from Malware with SmartScreen in Windows 8
Windows 8 Secure Boot
Met de introductie van Secure Boot in Windows 8 heeft Microsoft het opstart / bootproces beveiligd waardoor "Rootkits" & "Bootkits" zich niet meer zomaar op het systeem kunnen nestelen. Een goed voorbeeld hiervan is de TDL4 alias (TDSS, Alureon en Olmarik) rootkit. Op 64 bit systemen doet deze rootkit het systeem geloven dat het in herstelmodus wordt opgestart waarmee PatchGuard (Kernelbeveiliging) dat controleert of kerneldrivers wel digitaal ondertekend zijn wordt gedeactiveerd.
Met Secure Boot kunnen alleen kerneldrivers en bootloaders worden uitgevoerd die door Microsoft ondertekend zijn, deze functionaliteit is echter alleen beschikbaar op systemen waarbij de moederborden uitgerust zijn met Unified Extensible Firmware Interface (UEFI) wat de opvolger is van de bekende BIOS.
Secure Boot heeft een kenmerkend nadeel en dat is dat het opstarten / booten vanaf een CD / DVD Rom of een USB-Stick standaard wordt geblokkeerd.
Windows 8 Early-Launch Anti-Malware (ELAM)
In Windows 8 is het mogelijk dat beveiligingspakketten al voor het opstarten van Windows actief kunnen worden, met de zogenaamde ELAM-technologie (Early-Launch Anti-Malware) kunnen essentiële onderdelen van een beveiligingspakket mits deze met de ELAM-technologie compatibel zijn gestart worden.
Bij het opstarten wordt een gedeelte van het beveiligingspakket als eerste niet Microsoft proces gestart waarmee het verdere boot-proces van Windows wordt bewaakt, iedere driver die wordt geladen zal nu door het betreffende beveiligingspakket worden gecontroleerd, als een driver als malware zijnde worden gedetecteerd zal het laden van deze driver geblokkeerd worden. Doordat de ELAM-technologie geen verwijder mogelijkheden heeft kan een betreffende driver die malware gerelateerd is pas na het opstarten door het beveiligingspakket worden verwijderd.
Het voordeel hiervan is dat niet actieve drivers die malware gerelateerd zijn eenvoudiger door een beveiligingspakket zijn te verwijderen.
Windows 8 Exploit bescherming
Sinds Windows Vista is het zogenaamde Address space layout randomization (ASLR) aanwezig, in Windows 8 is deze functionaliteit om met "exploits" kwetsbaarheden / veiligheidslekken uit te buiten uitgebreid en is het randomiseren verbeterd.
ASLR zorgt er namelijk voor dat gegevens in het geheugen toevallige (random) adressen in het werkgeheugen van het systeem krijgen toegewezen, hierdoor wordt het voor exploits lastiger gemaakt om deze gegevens te misbruiken.
TPM-chip (Trusted Platform Module)
Computers die zijn uitgerust met een TPM-chip (Trusted Platform Module) hebben de mogelijkheid om het systeem al tijdens het opstarten te laten scannen op kwaadaardige en of ongewenste software. De functionaliteit Measured Boot is daarom dan ook onlosmakelijk verbonden aan een TPM-chip en kan je alleen gebruik maken van Measured Boot mits het systeem een TPM-chip bevat.
Voor Systemen zonder TPM-chip heeft Microsoft Secure Boot als alternatief ontwikkeld.
Windows 8 Measured Boot
Measured Boot is een functionaliteit of eigenlijk een beter gezegd een lijst van alle bootonderdelen die voor het starten van beveiligingssoftware zijn geladen door Windows, met deze gegevens zouden antivirus fabrikanten beter kunnen bepalen of de onderdelen die worden geladen voordat de beveiligingssoftware actief is wel betrouwbaar is en niet is gemanipuleerd en of malware gerelateerd is.
De gegevens van de bootonderdelen kunnen dan ook weer online via een "remote server" geverifieerd worden door het betreffende beveiligingspakket.
Windows 8 Secure Boot
Met de introductie van Secure Boot in Windows 8 heeft Microsoft het opstart / bootproces beveiligd waardoor "Rootkits" & "Bootkits" zich niet meer zomaar op het systeem kunnen nestelen. Een goed voorbeeld hiervan is de TDL4 alias (TDSS, Alureon en Olmarik) rootkit. Op 64 bit systemen doet deze rootkit het systeem geloven dat het in herstelmodus wordt opgestart waarmee PatchGuard (Kernelbeveiliging) dat controleert of kerneldrivers wel digitaal ondertekend zijn wordt gedeactiveerd.
Met Secure Boot kunnen alleen kerneldrivers en bootloaders worden uitgevoerd die door Microsoft ondertekend zijn, deze functionaliteit is echter alleen beschikbaar op systemen waarbij de moederborden uitgerust zijn met Unified Extensible Firmware Interface (UEFI) wat de opvolger is van de bekende BIOS.
Secure Boot heeft een kenmerkend nadeel en dat is dat het opstarten / booten vanaf een CD / DVD Rom of een USB-Stick standaard wordt geblokkeerd.
In Windows 8 is het mogelijk dat beveiligingspakketten al voor het opstarten van Windows actief kunnen worden, met de zogenaamde ELAM-technologie (Early-Launch Anti-Malware) kunnen essentiële onderdelen van een beveiligingspakket mits deze met de ELAM-technologie compatibel zijn gestart worden.
Bij het opstarten wordt een gedeelte van het beveiligingspakket als eerste niet Microsoft proces gestart waarmee het verdere boot-proces van Windows wordt bewaakt, iedere driver die wordt geladen zal nu door het betreffende beveiligingspakket worden gecontroleerd, als een driver als malware zijnde worden gedetecteerd zal het laden van deze driver geblokkeerd worden. Doordat de ELAM-technologie geen verwijder mogelijkheden heeft kan een betreffende driver die malware gerelateerd is pas na het opstarten door het beveiligingspakket worden verwijderd.
Het voordeel hiervan is dat niet actieve drivers die malware gerelateerd zijn eenvoudiger door een beveiligingspakket zijn te verwijderen.
Sinds Windows Vista is het zogenaamde Address space layout randomization (ASLR) aanwezig, in Windows 8 is deze functionaliteit om met "exploits" kwetsbaarheden / veiligheidslekken uit te buiten uitgebreid en is het randomiseren verbeterd.
ASLR zorgt er namelijk voor dat gegevens in het geheugen toevallige (random) adressen in het werkgeheugen van het systeem krijgen toegewezen, hierdoor wordt het voor exploits lastiger gemaakt om deze gegevens te misbruiken.
TPM-chip (Trusted Platform Module)
Computers die zijn uitgerust met een TPM-chip (Trusted Platform Module) hebben de mogelijkheid om het systeem al tijdens het opstarten te laten scannen op kwaadaardige en of ongewenste software. De functionaliteit Measured Boot is daarom dan ook onlosmakelijk verbonden aan een TPM-chip en kan je alleen gebruik maken van Measured Boot mits het systeem een TPM-chip bevat.
Voor Systemen zonder TPM-chip heeft Microsoft Secure Boot als alternatief ontwikkeld.
Windows 8 Measured Boot
Measured Boot is een functionaliteit of eigenlijk een beter gezegd een lijst van alle bootonderdelen die voor het starten van beveiligingssoftware zijn geladen door Windows, met deze gegevens zouden antivirus fabrikanten beter kunnen bepalen of de onderdelen die worden geladen voordat de beveiligingssoftware actief is wel betrouwbaar is en niet is gemanipuleerd en of malware gerelateerd is.
De gegevens van de bootonderdelen kunnen dan ook weer online via een "remote server" geverifieerd worden door het betreffende beveiligingspakket.
