by lars 

Veiligheid van Windows 10 S in gevaar gebracht door, jawel, macro’s van MS Word

0 Comments

  • Home
  • /
  • Blog
  • /
  • Veiligheid van Windows 10 S in gevaar gebracht door, jawel, macro’s van MS Word

​​Windows 10 S belooft veel meer dan hij momenteel levert.

Windows 10 S, de nieuwste variant van Windows 10 die alleen applicaties installeert en uitvoert die afkomstig zijn van de Windows Store, is alleen rechtvaardig wanneer hij zo’n beperking kan afdwingen. 

Windows 10 S biedt, net als iOS en Chrome OS, meer consistentie en robuustheid dan de gewone Windows. Zoals onlangs door Microsoft gepubliceerd, kunnen applicaties uit de Windows Store geen ongewenste schadelijke software bevatten in de installatiecomponent, waardoor de gebundelde spyware, die regelmatig onderdeel van het Windows ecosysteem is, wordt geëlimineerd.

Deze beperkingen zijn een redelijk compromis, mits Windows 10 S inderdaad een betere bescherming geeft tegen onwettige, omstreden externe gebruikers die proberen pc’s te hacken en in gevaar te brengen, aar ook tegen interne gebruikers zoals, bijvoorbeeld, je eigen kinderen.

Nadeel is dat je geen willekeurige Windowsapplicaties kan draaien, voordeel is dat het ook geldt voor willekeurige Windows malware. Niet alle gebruikers zullen zo’n compromis interessant vinden, maar voor sommige is het net zo goed als zeker de juiste compromis.

Maar de waarde van Windows 10 S wordt aanzienlijk ondermijnd als de bescherming dat hij levert gebrekkig is, als kwaadwillende deze bescherming op een of andere manier kunnen omzeilen.

Voor standaardgebruikers blijft het nadeel bestaan, omdat ze nog altijd geen simpele manier hebben om rechttoe rechtaan willekeurige Windows programma’s te installeren. Maar het voordeel, de bescherming tegen malware, dat verdampt.

En omgekeerd, als de bescherming goed werkt, dan zou Microsoft het niet moeten reserveren aan Windows 10 gebruikers die een nieuwe computer hebben gekocht met Windows 10 S vooraf geïnstalleerd. De mogelijkheid zou ook moeten worden geboden, als ze dat willen, aan de gebruikers van de vele Windows 10 apparaten aanwezig in huizen en scholen over de hele wereld.

Logo Windows 10

Veiligheid van Windows 10 S

Maar de veiligheid van Windows 10 S lijkt helaas niet te zijn wat het zou moeten. Ook wanneer de gebreken zouden worden aangepakt, er is geen goede manier om gebruik te maken van de bescherming die Windows 10 S meent te kunnen bieden.

Oppervlakkig, lijkt Windows 10 S redelijk goed beveiligd tegen de uitvoer van applicaties die niet vanuit de Windows Store komen. Willekeurige bestanden die uitvoerbaar zijn worden geblokkeerd en ook bestanden die binnengehaald worden via sideloading (downloaden van een ander apparaat of schijf, niet via de Store).

Toegang tot de opdrachtprompt, maar ook tot de PowerShell, is evengoed geblokkeerd. Een belangrijke zaak omdat de PowerShell, een goed functionerende programmeertaal die toegang heeft tot de omgeving van .NET, zou gebruikt kunnen worden om programma’s te schrijven die willekeurige zakendoen, zoals profiteren van bugs in de kernel, bijvoorbeeld.

Maar in een rapport van ZDNet kan je lezen dat Microsoft ‘andere’ programmeeromgevingen heeft ingeschakeld. Om precies te zijn, de versie van Office die beschikbaar is op de Windows Store ondersteunt de macro’s van Office.

Nu is het zo dat Macro’s van Office volledige toegang hebben tot de Windows API (Application Programming Interface) en macro’s van Office worden regelmatig gebruikt om aanvallen uit te voeren op Windows machines. 

Hoewel er enkele beveiligingsmechanismen zijn die het gebruik moeten voorkomen van macro’s (bestanden die van internet zijn gedownload moeten door Explorer als veilig worden gemarkeerd voordat hun macro’s uitgevoerd kunnen worden), uiteindelijk is daar een volledige programmeermogelijkheid aanwezig.

Het blokkeren van PowerShell en opdrachtpromt is een beetje eigenaardig. Waarom een programmeeromgeving toestaan en een andere verbieden?

Maar zelfs dit zou geen big deal zijn als er geen tweede probleem was. De iOS van Apple heeft helemaal geen bevoorrecht account die gebruikerstoegankelijk is. Google Chrome heeft wel een bevoorrechte root-account, maar dit account kan alleen worden gebruikt nadat de ontwikkelaarsmodus is ingeschakeld.

Hoe voorzichtig je ook bent, het doet er niet toe. Als je Windows gebruikt heb je een antivirus nodig.


Wanneer er over antivirussoftware wordt gesproken, is er altijd iemand die zegt geen antivirus nodig te hebben, eenvoudigweg door voldoende voorzichtig te zijn. Maar dit

Lees meer

De juiste manier om je computer te scannen op malware


​Bevrijd je computer van Trojaanse paarden, virussen, spyware en meer... Een volledige en correcte scan van je computer op virussen en andere malware zoals Trojaanse

Lees meer

Welke beveiligingssoftware kun je gebruiken in Windows 10?


Windows 10, het laatste besturingssysteem van Microsoft, brengt een hoop nieuwe koele functies mee, maar ook een aantal minder gewaardeerde problemen. Windows 10 is propvol

Lees meer

Dit moet je weten over de nieuwe Windows Defender


​Met de Creators Update voor Windows 10 introduceert Microsoft de Windows Defender Security Center (Windows Defende​r-beveiligingscentrum) die het makkelijk maakt voor gebruikers om de beveiligingsinstellingen

Lees meer

De 5 beste gratis softwarepakketten voor de internetbeveiliging van Windows pc’s


​Wanneer het om systeembeveiliging gaat, beschikken Windows gebruikers over drie mogelijkheden: de ingebouwde Windows Defender gebruiken, beveiligingssoftware van derden installeren of zich helemaal geen zorgen

Lees meer

Windows 10: veiligheidsinstellingen die je absoluut moet weten


​Windows 10 zit eindelijk op je computer en je bent nu ook een van de 67 miljoen gebruikers geworden. Je start de browser op zoek

Lees meer

Op oudere Chromebooks, om de ontwikkelaarsmodus in te schakelen moest je een fysieke hardware schakelaar omzetten. Op de huidige machines, moet je duiken in de systeemfirmware. Wanneer de modus is ingeschakeld, krijg je telkens bij het opstarten een waarschuwing dat de machine onveilig is en worden aanwezige gebruikersgegevens gewist.

De ontwikkelaarsmodus kan dus niet gebruikt worden om de ingebouwde bescherming van Chrome OS te omzeilen en toegang krijgen tot de gebruikersgegevens zonder medeweten van de eigenaar van betreffende machine.

Maar Windows 10 S heeft normale beheerdersaccounts, accounts die bevoorrecht zijn en Word kunnen laten draaien en ook de macro’s van Word. Met de bevoegdheden van een beheerder kunnen de macro’s van Word een aanval doen op andere processen in het systeem en willekeurige codes uitvoeren zonder de beveiligingsbeperkingen die Windows 10 S wordt geacht te bieden.

Of het nou schoolkinderen zijn die games op de klascomputers willen spelen of hackers die persoonlijke gegevens willen stelen, hierdoor krijgen kwaadaardige gebruikers veel ruimte om Windows 10 S aan te vallen. 

shield windows

Windows 10 S is te conventioneel

Windows 10 S, om het besturingssysteem te kunnen worden die Microsoft zou willen, zal meer moeten doen om tegen aanvallen te beschermen. iOS en Chrome OS hebben afgebroken met de langdurige gewoontes rond een systeemtoegang op supergebruiker niveau. Ze hebben dat gedaan om juist het type veiligheid, prestaties en batterijverbruik te garanderen die Microsoft belooft voor Windows 10 S.  De huidige 10 S in zondermeer een stap in de goede richting, maar moet radicaler zijn om deze andere platformen te evenaren.

Maar er is nog een gebrek in Windows 10 S. Hij is gewoon niet beschikbaar voor voldoende gebruikers. Hij is duidelijk, ook in de huidige staat, een veiligere variant van Windows met aantrekkelijke eigenschappen, bijvoorbeeld, voor gebruikers die meer betrouwbaarheid wensen maar staat ook voor een veiliger computergebruik door kinderen.

Helaas hebben de huidige Windows 10 gebruikers, zelfs op een gloednieuw apparaat, geen toegang tot de extra bescherming van Windows 10 S. En je kan het onmogelijk achteraf activeren op bestaande Windows systemen.

In feite, hebben bestaande Windows gebruikers slechts een licht namaaksel daarvan. Eerder dit jaar werd de Windows 10 Creators Update vrijgegeven met een optie om systemen te beperken tot de uitvoer van alleen applicaties uit de Store. 

Dit lijkt alsof een bestaand Windows 10 toch omgezet kan worden naar Windows 10 S (tenslotte, het hoofdpunt van Windows 10 S is dat het alleen applicaties uit de Store kan draaien). Hoewel de instellingen zeggen dat hij alleen applicaties uit de Store zal draaien, gebeurt dit niet echt. De betreffende instelling is zeer onnauwkeurig en ook zeer misleidend.

In feite, wat de bestaande optie doet is de toegang tot uitvoerbare bestanden, die gemarkeerd zijn als gedownload uit het internet, voorkomen. Als je de markering verwijdert (dat kan in Explorer in de dialoogvenster Eigenschappen…) het programma zal wel draaien.


Als je de verbinding met het netwerk onderbreekt, waardoor het SmartSCreen reputatiesysteem waarschuwt tegen het draaien van ongewone programma’s, zal het programma ook draaien. Dit houdt wel het downloaden van niet-store applicaties een beetje tegen, maar deze beperking doet veel minder dan beweerd wordt in de instelling.

Microsoft heeft een aantal instellingen gegeven aan ontwikkelaars, die een Windows 10 Pro- of Enterprise-systeem omzet in iets dat zeer dicht bij Windows 10 S komt, maar dit is afhankelijk van een aantal functies die niet in de basis Windows 10 zitten. Dit maakt het voor thuisgebruikers (degenen die waarschijnlijk het meest zouden profiteren van deze beveiliging) onmogelijk te gebruiken.

Soortgelijke moeilijkheden zijn ook in Windows 10 S-systemen. Wanneer een computer met 10 S opgewaardeerd wordt tot 10 Pro, kan hij daarna niet terug worden gezet naar 10 S zonder dat de machine volledig gewist moet en het besturingssysteem opnieuw geïnstalleerd. 

Teruggaan naar 10 S vanaf 10 Pro (of een bestaande Windows 10 installatie wijzigen naar 10 S) is helemaal niet eenvoudig. Er zijn moeilijke vragen over wat er gedaan moet worden met niet-store applicaties die op de machine zijn geïnstalleerd. 

Maar dit is een probleem waarvoor Microsoft snel met een antwoord moet komen.
Als Windows 10 S inderdaad zo veilig en wenselijk is als het bedrijf beweert, moet het opengesteld worden en beschikbaar voor álle bestaande Windows 10 gebruikers en niet enkel de nieuwe.

About the author 

lars

Leave a Reply

Your email address will not be published. Required fields are marked

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}