Microsoft stelt de verwijdering van SHA-1 in de beveiligingsbasislijn van Edge 85 uit

Microsoft heeft een nieuwe beveiligingsbasislijn voor Microsoft Edge gepubliceerd en een van de nieuwe regels is getiteld “Certificaten laten ondertekenen met SHA-1 indien uitgegeven door lokale trust anchors.”

Wat sommige gebruikers zal verbazen, aangezien het National Institute of Standards and Technology van de Verenigde Staten SHA-1 in 2011 verouderde en Microsoft het in 2017 uit zijn Internet Explorer en Edge-browsers verbood.

Beiden deden dit omdat het hash-algoritme vatbaar was voor aanvaringsaanvallen waardoor replica’s konden worden gemaakt, een fout die Google begin 2017 bewees.

Dus waarom heeft Microsoft SHA-1 nu nieuw leven ingeblazen?

De uitleg van Microsoft omvat onder meer de bekentenis dat “het misschien vreemd lijkt dat we een verouderde instelling aan de basislijn toevoegen”, maar benadrukt dat “deze belangrijk is.”

“Microsoft Edge verbiedt standaard certificaten die zijn ondertekend met SHA-1, de beveiligingsbasislijn dwingt dit af om ervoor te zorgen dat ondernemingen erkennen dat het toestaan ​​van SHA-1 ketens geen veilige configuratie is,”

schreef Microsoft-beveiligingsmedewerker Rick Munck.

“Mocht u een SHA-1 keten moeten gebruiken voor compatibiliteit met bestaande applicaties die ervan afhankelijk zijn, dan is het zo snel mogelijk overstappen van die configuratie cruciaal voor de beveiliging van uw organisatie.”

De verlichting is ook tijdelijk:

“In versie 92 van Microsoft Edge, die medio 2021 wordt verwacht, wordt deze instelling verwijderd, daarna zal er geen ondersteund mechanisme zijn om SHA-1 toe te staan, zelfs niet voor certificaten die zijn uitgegeven door uw niet-openbare certificeringsinstanties,”

Schreef Munck.

De nieuwe basislijn voor Edge 85 voegt ook een beleid toe met de titel “Definieer een lijst met protocollen die een externe applicatie kan starten vanuit vermelde bronnen zonder de gebruiker te vragen”, wat betekent dat gebruikers een optie krijgen om browsers altijd lokale apps te laten spawnen.

Microsoft stelt dat deze wijziging nodig is omdat het zien van een prompt, telkens wanneer een gebruiker op een link naar bekende apps zoals Teams en Skype klikt, hen ongevoelig maakt voor echte bedreigingen en klachten veroorzaakt bij IT-afdelingen. Het nieuwe beleid betekent daarom dat gebruikers een selectievakje krijgen om de browser altijd toe te staan ​​bepaalde apps te starten.

“Door gebruik te maken van deze instelling wordt die prompt onderdrukt en wordt de ruis voor de eindgebruiker verminderd door de inhoud op bedrijfsniveau goed te keuren. Het verminderen van de prompts van de eindgebruiker verbetert zowel de productiviteit van de gebruiker als helpt hen om betere beslissingen te nemen wanneer een onverwacht verzoek verschijnt, doordat de prompt ‘moeheid’ wordt verminderd. ”

Aldus Munck.

Microsoft beoordeelt de volledige lijst met Edge-beleid als gelezen 313 minuten.

Bron: TheRegister

Github van Microsoft heeft “verhoogde foutenpercentages”

De Broncode repository GitHub heeft prestatieproblemen, met een gedeeltelijke uitval van de afgelopen laatste twee uur.

Op hun statuspagina schrijft GitHub:

We blijven verhoogde foutenpercentages op GitHub.com onderzoeken en zullen updates verstrekken wanneer we ze hebben.

Er lijken problemen te zijn met de API’s en Webhooks, wat betekent dat integratie met CI / CD-systemen niet goed werkt.

Het probleem volgt soortgelijke problemen slechts twee dagen geleden, waardoor deze tweet van Microsoft Technical Fellow Jeffrey Snover verouderd is als melk:

De 300 GB Windows broncode van Microsoft staat ook op een Git-repository, dus we veronderstellen dat terwijl dit wordt opgelost ook niet veel werk wordt gedaan bij Redmond.

Bron: GitHub

Houd de status op de updatepagina van GitHub hier in de gaten. Bij publicatie van dit bericht lijken de herstel werkzaamheden een positief effect te hebben.

Gegevens die Windows 10 1909 naar Microsoft verzendt telemetrie volledig uitschakelen blijft riskant

Microsoft heeft stilletjes een wijziging doorgevoerd in Windows 10 versie 1909, de nieuwste versie van Windows 10, waarmee zakelijke klanten kunnen voorkomen dat apparaten telemetrie gegevens naar de servers van Microsoft verzenden. 

Windows 10

Dat is volgens de bevindingen van het Beierse Staatsbureau voor toezicht op gegevensbescherming, een invloedrijke autoriteit voor gegevensbescherming in Duitsland, waarvan een recent onderzoek aantoonde dat het “sterk afhankelijk” was van het bedrijf Redmond voor zijn softwarebehoeften .

Europese gegevensbeschermingsautoriteiten hebben veel bezorgdheid geuit over de telemetrie gegevensverzameling van Microsoft van Windows 10 apparaten, waaronder de recente inspanningen van Nederland om Office 365 gegevensverzameling te beperken om ervoor te zorgen dat de praktijken van het bedrijf voldoen aan de Algemene Verordening Gegevensbescherming (AVG) van de EU . 

Microsoft heeft onlangs de voorwaarden voor Office 365 wereldwijd gewijzigd om te voldoen aan de aanbevelingen van het Nederlandse ministerie van Justitie. 

Microsoft heeft ook enkele wijzigingen aangebracht in Windows 10 in versie 1909, de update van november 2019, zoals gemeld door Duitse Windows-gerichte blogs Borncity en Deskmodder . 

De Beierse DPA heeft onlangs voorzichtig geformuleerde bevindingen vrijgegeven over de configuraties in Windows 10 die suggereren dat bedrijfsbeheerders de ongewenste verzameling van telemetrie gegevens van Microsoft mogelijk volledig kunnen uitschakelen.           

De Duitse autoriteit voerde een laboratoriumanalyse uit op één Windows 10 werkstation met een Enterprise-versie van Windows 10 versie 1909 die telemetrie gegevens volledig had gedeactiveerd en ontdekte dat het geen bedreiging voor gegevensbescherming leek te zijn. 

Vergeet niet dat Microsoft begin 2018 nieuwe tools heeft uitgerold zodat gebruikers kunnen inspecteren en controleren welke telemetrie gegevens de servers van Microsoft hebben verzameld. Home- en Pro-gebruikers kunnen deze bijvoorbeeld instellen op ‘basic’ of ‘full’, waardoor dit soort gegevensverzameling wordt beperkt maar niet gestopt. 

Enterprise- en Education-klanten kunnen deze gegevenslekkage bij Microsoft echter sterker onder druk zetten. Volgens de Beierse gegevensbeschermingsautoriteit suggereren de eerste tests dat telemetriegegevensoverdracht naar Microsoft volledig kan worden afgesloten.

“Als onderdeel van deze laboratoriumanalyse bleek dat de telemetrie gegevens van één Windows 10-computer met de Enterprise-versie volledig kunnen worden gedeactiveerd”,

schreef de Beierse DPA. 

De Beierse gegevensbeschermingsautoriteit zegt echter dat, hoewel de controles nu bestaan ​​om alle telemetrie-uitzendingen af ​​te sluiten, het waarschuwt dat dit een organisatie aan grotere beveiligingsrisico’s zou kunnen blootstellen.  

“Alleen oproepen naar Microsoft servers die huidige cryptografische certificaten leveren, konden met deze configuratie niet worden uitgeschakeld, omdat deze nodig zijn om ervoor te zorgen dat een Windows 10 systeem dagelijks veilig kan worden gebruikt, bijvoorbeeld wanneer een gebruiker zoekt een geldig SSL-rootcertificaat “

stond er. 

“Deze oproepen kunnen ook worden voorkomen door gerichte systeemconfiguraties, hoewel een dergelijke procedure geenszins wordt aanbevolen om veiligheidsredenen.”

De autoriteit is van oordeel dat telemetriegegevensverzameling in Enterprise- en Education-edities van Windows 10 niet langer een reden is om te voorkomen dat Windows 10 wordt overgenomen. Maar het waarschuwt ook dat de bevinding moet worden bevestigd op een productie-Windows 10-machine met versie 1909.  

Desalniettemin schreef het optimistisch:

“Als dit resultaat door echt gebruik van Windows 10 door bedrijven wordt bevestigd, vormt de verwerking van telemetrie gegevens in Windows 10 Enterprise (zelfs in beheerde omgevingen) in ieder geval geen belemmering voor gegevensbescherming voor het gebruik van dit besturingssysteem. ” 

Microsoft stuurt opnieuw een verkeerde update naar gebruikers van Windows 10

Microsoft heeft opnieuw een verkeerde Windows 10-update naar zijn gebruikers verzonden. De softwaregigant van Redmond heeft onlangs de Windows 10 Autopilot-update ‘KB4532441‘ uitgegeven, die alleen naar Windows Autopilot geconfigureerde apparaten zou worden uitgerold, samen met de updates van Patch Dinsdag die op 10 december werden uitgerold.

Eerder in oktober maakte Microsoft dezelfde fout door per ongeluk een patch, die voor Autopilot geconfigureerde apparaten beschikbaar moest zijn, naar elke Windows 10-gebruiker te duwen.

Het goede nieuws is dat Microsoft het probleem snel heeft erkend en de update met de volgende uitleg heeft opgehaald:

“Deze update was beschikbaar via Windows Update. We hebben het echter verwijderd omdat het onjuist werd aangeboden. Wanneer een organisatie een apparaat registreert of configureert voor de installatie van Windows Autopilot, wordt de Autopilot automatisch bijgewerkt naar de nieuwste versie”. Opmerking: “Er is geen effect op de Windows Autopilot die wordt aangeboden aan Windows 10 apparaten. Als u deze update werd aangeboden en Autopilot niet gebruikt, heeft het installeren van deze update geen invloed op u. Windows Autopilot-update mag niet worden aangeboden aan Windows 10 Home”.

Microsoft heeft ook verduidelijkt dat deze update geen negatieve gevolgen heeft voor uw pc, wat betekent dat u geen problemen zult ondervinden na het installeren van de update. Als u een van degenen bent die de update heeft geïnstalleerd, kunt u deze eenvoudig verwijderen.

Pin It on Pinterest