Hopelijk is dit onderwerp bij veel developers al lang bekend en weet iedereen precies wat je er tegen moet doen. Tijdens de cursussen blijkt dat veel mensen SQL injection een interessant onderwerp vinden en aangezien het toch één van de belangrijkste beveiligingsrisico's is, wil ik er graag een blogje aan wagen. Ten eerste, wat is SQL injection, en ten tweede, wat kun je er aan doen.

WinPE staat voor Windows Pre-installation Environment. WinPE is in feite niets meer dan een ieniemienie besturingssysteem dat gebruikt wordt om Windows te installeren. WinPE v2.0 is een besturingssysteem gebaseerd op Windows Vista en WinPE v1.0 is gebaseerd op Windows XP. De eenvoudigste manier om WinPE te starten is door een distributie DVD van Windows in je computer te stoppen en hier van te booten. Je krijgt dan onderstaand scherm te zien, dit is WinPE die automatisch een applicatie start om de volledige installatie van bijvoorbeeld Windows Vista uit te voeren.

Nu werk ik al jaren met Windows en ook al een flinke tijd met Vista. Sinds kort ook enigszins verslaafd aan Process Monitor van SysInternals (een onderdeel van Microsoft). Dankzij dit tooltje heb ik ontdekt dat een password in Windows wel heel erg eenvoudig is te verwijderen.

Stel: je maakt een website maar je wilt niet dat iedereen deze website kan bezoeken. Of je wilt dat een bepaald deel van de website wordt afgeschermd. Dan wil je dus dat gebruikers van je website zich aanmelden met een inlognaam en password. Als beheerder of ontwikkelaar zul je moeten beslissen welke authenticatie je wilt gebruiken. Er zijn echter een heleboel keuzes die je kunt maken als je gebruikt maakt van IIS als webserver.

Wat hebben ze bij jou op de zaak geregeld qua Internettoegang? Mag iedereen gewoon lekker browsen en wordt er gezegd dat je het maar 'netjes' moet doen en 'niet teveel'? Heb je dan ook afspraken die zeggen dat je niet naar goksites mag? En wat doe je dan in de pauze? Mag dat dan wel? En wat doe je met bijvoorbeeld nieuwssites als nu.nl en webmail als Hotmail en Gmail? Al met al is het een heel erg grijs gebied waar (de ervaring van mij ook heeft geleerd) er nogal wat misbruik van wordt gemaakt... Bewust of onbewust.

Om computers 'veilig' te laten communiceren kun je de data die verstuurd moet worden versleutelen (encryptie). Om dit te doen heb je een sleutel (key) nodig. Maar hoe kun je een sleutel met een ander afspreken als er nog geen veilig communicatiekanaal is. Twee wiskundigen, Diffie en Hellman, hebben hier een oplossing op bedacht. Deze oplossing is reeds tientallen jaren oud en wordt door vele encryptie methoden gebruikt (SSL, SSH, IPSec, PKI).

Ooit de noodzaak gehad van een andere Password Policy in uw domain? In Windows Server 2008 is het mogelijk om dit te regelen zonder extra domain middels een Group Policy.

Ook voor Windows Server 2008 zijn er nu al updates beschikbaar. Zo is er sinds kort een update die 'ziet' dat je machine operationeel is in Nederland. Daarmee concludeert de Server dat er een toetsenbord is aangesloten met de Nederlandse layout. Toetsenborden met een Nederlandse layout komen echter maar zelden voor; wij gebruiken namelijk veelal toetsenborden met een US-layout.