Toon posts:

ActiveX beveiliging

Pagina: 1
Acties:

dinsdag 11 oktober 2005 09:59

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 13-01 13:37

Mathadon

Topicstarter
Beste mensen,

Bij ons op het bedrijfsnetwerk hebben wij werkstations met windows 2000 professional SP4 en als servers windows 2003.

De werkstations hebben allemaal Internet Explorer 6 + SP1.
We hebben voor onze beveiliging een sites.reg gemaakt waarin staat welke sites trusted zijn.
Deze wordt geladen in ons inlogscript voor alle gebruikers.

Alle gebruikers die op trusted sites komen, kunnen downloaden, activex onderdelen laden/downloaden etc. Maar alle overige sites zijn standaard non-trusted en moeten vrijgegeven worden. Op de non-trusted sites zijn de security settings zo ingesteld (via een GPO) dat activeX niet geladen mag worden omdat in ActiveX ook virussen kunnen zitten.

Maar sommige gebruikers surfen best wel veel en krijgen op veel sites met ActiveX componenten de melding dat sommige activeX niet geladen kan worden. Wat erg frustrerend is. Nu kan ik de security settings aanpassen zodat alle sites wel activeX mogen laden, maar ik vraag me af of dit wel zo verstandig is? Of is er ook een andere mogelijkheid om de beveiliging voor ActiveX aan te passen zodat de gebruikers niet de melding krijgen te zien + dat er geen bedreiging gevormd wordt qua virussen?

Kan iemand mij adviseren?

dinsdag 11 oktober 2005 15:28

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 13-01 13:37

Mathadon

Topicstarter
Jammer dat niemand reageert....
Modbreak:Gelieve je hier normaal te gedragen in plaats van als een klein kind wat niet meteen antwoord krijgt ... :/

[ Voor 68% gewijzigd door Koffie op 12-10-2005 21:19 ]

dinsdag 11 oktober 2005 15:38

Acties:

Verwijderd

In ActiveX hoeft niet alleen een virus te zitten maar komt het ook veel voor dat er Trojans in zitten, spyware, phishing, keyloggers etc.

Lijkt me niet dat je wil dat je netwerk daardoor plat gaat of dat er gegevens op die manier ontfutseld worden. Persoonlijk zie ik geen noodzaak voor gebruikers om ActiveX bestanden te moeten laden. Zoals de Postbank het bevoorbeeld gebruikt, online banking behoort toch niet tot het reguliere surfgedrag ? Veel crack en patch sites gebruiken het ook, lijkt me niet dat je wilt dat ze dat allemaal gaan installeren.

Ik weet niet hoe belangrijk het surfen bedrijfsmatig noodzakelijk is, maar ActiveX komt imo voor op sites die doelgericht zijn. Je kan je afvragen wat dan de noodzaak is voor je perosneel/bedrijf om daarop te surfen.

dinsdag 11 oktober 2005 15:55

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 13-01 13:37

Mathadon

Topicstarter
Maar het komt steeds vaker voor dat ook "normale" sites ActiveX gebruiken. Het wordt in ieder geval steeds vaker gebruikt. Dit ondervinden de gebruikers bij ons, omdat ze steeds vaker de melding krijgen dat bepaalde activeX componenten niet geladen zijn.

En als later 90% van alle websites activeX gebruikt, wat moet ik dan?
Zijn er op dit moment niet genoeg security fixen uitgebracht door Microsoft om dit af te schermen? of zie ik dit verkeerd?

woensdag 12 oktober 2005 12:19

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Kun je niet instellen dat een ActiveX componen alleen mag draaien mits gesigned door een trusted partij ? Dat brengt het risico iig terug, zeker met een beperkt aantal trusted CA's.

woensdag 12 oktober 2005 14:13

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 13-01 13:37

Mathadon

Topicstarter
igmar schreef op woensdag 12 oktober 2005 @ 12:19:
Kun je niet instellen dat een ActiveX componen alleen mag draaien mits gesigned door een trusted partij ? Dat brengt het risico iig terug, zeker met een beperkt aantal trusted CA's.
Dat mag ook, als de site voorkomt in de trusted list (sites.reg) dan mogen wel de activeX components uitgevoerd worden..... of bedoel jij iets anders?

woensdag 12 oktober 2005 22:11

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Ik gok dat niet zo heel veel sites ActiveX gebruiken, maar voornamelijk dat veel sites Flash gebruiken (wat onder IE een ActiveX component is) :)

Waarom laat je niet gewoon installed ActiveX'en toe, en verbied je het niet simpelweg om nieuwe ActiveX'en te installeren? :)

woensdag 12 oktober 2005 22:44

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

elevator schreef op woensdag 12 oktober 2005 @ 22:11:
Ik gok dat niet zo heel veel sites ActiveX gebruiken, maar voornamelijk dat veel sites Flash gebruiken (wat onder IE een ActiveX component is) :)

Waarom laat je niet gewoon installed ActiveX'en toe, en verbied je het niet simpelweg om nieuwe ActiveX'en te installeren? :)
Misschien omdat dan een trusted site ( waarschijnlijk ook local compu ) een activex component kan installeren wat niet helemaal correct functioneert, maar wat voor deze bewuste site wel functioneert. Als dit op andere sites aangeroepen kan worden met een exploit / bug / weet ik veel wat is je security nog steeds om zeep. Of wil jij van alle trusted sites alle activex componenten op voorhand doorlopen???

woensdag 12 oktober 2005 22:49

Acties:
  • Noork
  • Registratie: Juni 2001
  • Niet online

Noork

Even een opmerking over de werkstations. Dit zijn w2k bakken met IE6 en SP1? Zou je niet eens upgraden naar SP4?

woensdag 12 oktober 2005 23:00

Acties:
  • elevator
  • Registratie: December 2001
  • Niet online

elevator

Officieel moto fan :)

Gomez12 schreef op woensdag 12 oktober 2005 @ 22:44:
Misschien omdat dan een trusted site ( waarschijnlijk ook local compu ) een activex component kan installeren wat niet helemaal correct functioneert, maar wat voor deze bewuste site wel functioneert. Als dit op andere sites aangeroepen kan worden met een exploit / bug / weet ik veel wat is je security nog steeds om zeep. Of wil jij van alle trusted sites alle activex componenten op voorhand doorlopen???
Als er 'malicious' code op de PC heeft kunnen doordringen (op de local PC) dan is je PC sowieso compromised dus dan is het zinloos.

Een site aan de trusted sites toevoegen betekent dat je 100% vertrouwen hebt in de beheerders van die website - en als je dat hebt, kan je net zo goed 100% vertrouwen hebben in de ActiveX'en die je installeert.

woensdag 12 oktober 2005 23:11

Acties:
  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023

Gomez12

elevator schreef op woensdag 12 oktober 2005 @ 23:00:
[...]

Als er 'malicious' code op de PC heeft kunnen doordringen (op de local PC) dan is je PC sowieso compromised dus dan is het zinloos.
Klopt, maar het was ook maar een voorbeeld.
Een site aan de trusted sites toevoegen betekent dat je 100% vertrouwen hebt in de beheerders van die website - en als je dat hebt, kan je net zo goed 100% vertrouwen hebben in de ActiveX'en die je installeert.
Klopt in theorie. In de praktijk kan het best voorkomen dat 1 of meerdere grote leveranciers activex componenten gebruiken om hun pagina's te tonen, ik vertrouw de leverancier dan niet perse 100% maar voor het kunnen werken van de rest van het personeel moeten zij op deze sites kunnen komen.
Praktisch hoef ik een website absoluut niet te vertrouwen, en hun activex zeker niet. Alleen als er voor de werkzaamheden deze site nodig is en de manier waarop de site hun activex gebruikt niets malicious inzit "moet" ik zo af en toe wel besluiten om het een trusted site te maken.

woensdag 12 oktober 2005 23:36

Acties:
  • Alex)
  • Registratie: Juni 2003
  • Laatst online: 12-12-2025

Alex)

Noork schreef op woensdag 12 oktober 2005 @ 22:49:
Even een opmerking over de werkstations. Dit zijn w2k bakken met IE6 en SP1? Zou je niet eens upgraden naar SP4?
Hij bedoelt SP1 voor IE6, z'n W2K zal wel in orde zijn. (Is ook zo, dat schrijft hij... SP4...)
Er is geen SP2 voor IE6, voor Windows 2000. Je hebt dan XP nodig. IE6 SP2 biedt sowieso betere ActiveX-bescherming dan SP1, en 2000 raakt uit de support. Misschien een keer naar XP migreren?

[ Voor 5% gewijzigd door Alex) op 12-10-2005 23:37 ]

We are shaping the future

woensdag 12 oktober 2005 23:45

Acties:

Verwijderd

Mathadon schreef op dinsdag 11 oktober 2005 @ 15:55:
Maar het komt steeds vaker voor dat ook "normale" sites ActiveX gebruiken. Het wordt in ieder geval steeds vaker gebruikt.
Ik surf aardig veel, maar ik zie nauwelijks "normale" site's ActiveX gerbuiken. Misschien moet je voor de gein eens kijken wat de logs melden van mensen die hier om vragen, kun je een beetje nav. hun surfgedrag bekijken waar ze allemaal heen gaan. Nogmaals, voor normale site's zie ik geen reden om tot ActiveX over te gaan.

donderdag 13 oktober 2005 00:16

Acties:
  • PerfectPC
  • Registratie: Februari 2004
  • Laatst online: 01-02 11:46

PerfectPC

elevator schreef op woensdag 12 oktober 2005 @ 22:11:
Ik gok dat niet zo heel veel sites ActiveX gebruiken, maar voornamelijk dat veel sites Flash gebruiken (wat onder IE een ActiveX component is) :)
de flash installatie voor IE verloopt via ActiveX, maar als je flash manueel installeert komt er geen ActiveX aan te pas. verder moet je geen vrees hebben dat ActiveX meer verspreid gaat geraken, in tegendeel, IE verliest marktaandeel en browsers die helemaal neit overweg (willen) kunnen met ActiveX, websites wiens developer kiest om dan toch maar voor ActiveX te gaan zijn het bezoeken niet waard ;)

donderdag 13 oktober 2005 10:34

Acties:
  • igmar
  • Registratie: April 2000
  • Laatst online: 31-01 23:50

igmar

ISO20022

Mathadon schreef op woensdag 12 oktober 2005 @ 14:13:
Dat mag ook, als de site voorkomt in de trusted list (sites.reg) dan mogen wel de activeX components uitgevoerd worden..... of bedoel jij iets anders?
ActiveX componenten kunnen gesigned zijn, wat wil zeggen dat een digitale handtekening opstaat. Er zijn maar een paar partijen die certificaten verstrekken om een ActiveX component te signen, wat inhoud dat de partij altijd te tracen is. De meeste wat duistere componenten hebben of geen signature, of een door een niet-trusted partij.

donderdag 13 oktober 2005 11:16

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 13-01 13:37

Mathadon

Topicstarter
Verwijderd schreef op woensdag 12 oktober 2005 @ 23:45:
[...]


Ik surf aardig veel, maar ik zie nauwelijks "normale" site's ActiveX gerbuiken. Misschien moet je voor de gein eens kijken wat de logs melden van mensen die hier om vragen, kun je een beetje nav. hun surfgedrag bekijken waar ze allemaal heen gaan. Nogmaals, voor normale site's zie ik geen reden om tot ActiveX over te gaan.
We hebben ISA Server 2000 (met SP2) draaien + een webfilter wat Surfcontrol heet (makers: Weblimits).

Misschien kunnen we met Surfcontrol controleren hoevaak mensen surfen naar sites met activeX erin. Dit moet ik nog nazoeken.

Bedankt voor de tip.

[ Voor 4% gewijzigd door Mathadon op 13-10-2005 11:18 ]

donderdag 13 oktober 2005 11:21

Acties:
  • Mathadon
  • Registratie: Februari 2004
  • Laatst online: 13-01 13:37

Mathadon

Topicstarter
PerfectPC schreef op donderdag 13 oktober 2005 @ 00:16:
[...]

de flash installatie voor IE verloopt via ActiveX, maar als je flash manueel installeert komt er geen ActiveX aan te pas. verder moet je geen vrees hebben dat ActiveX meer verspreid gaat geraken, in tegendeel, IE verliest marktaandeel en browsers die helemaal neit overweg (willen) kunnen met ActiveX, websites wiens developer kiest om dan toch maar voor ActiveX te gaan zijn het bezoeken niet waard ;)
Ok, dus als ik een flash installatie distribueer via het netwerk naar alle werkstations, dan moeten de gebruikers minder activeX of flash-meldingen krijgen op websites waar ze willen gaan, klopt dit?
Flash op websites is dus wel betrouwbaar?

alvast bedankt voor je reactie.
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq