Start Empfohlen Microsoft kündigt IPE an, ein Linux-Sicherheitsmodul, das dem Kernel neue Funktionen zur...

Microsoft kündigt IPE an, ein Linux-Sicherheitsmodul, das dem Kernel neue Funktionen zur Codeintegrität hinzufügt

4
0


Microsoft setzt sich weiterhin für Linux ein, und das neueste Projekt des Unternehmens sieht den Versuch vor, die Sicherheit und Integrität von Systemen zu verbessern. Der Windows-Hersteller hat ein Linux-Sicherheitsmodul (LSM) namens Integrity Policy Enforcement (IPE) auf den Markt gebracht.

Das Kernel-Add-On bietet Administratoren die Möglichkeit, Richtlinien zu konfigurieren, die Integritätsanforderungen für ein gesamtes System durchsetzen können. Es ist möglich, eine Liste von Binärdateien zu erstellen, die ausgeführt werden dürfen, und Attribute anzugeben, die überprüft werden müssen, bevor die Ausführung zugelassen wird.

Siehe auch:

Microsoft hat IPE nicht für den allgemeinen Gebrauch von Linux-Systemen entwickelt. Es ist vielmehr für den Einsatz auf Geräten gedacht, die einen bestimmten Zweck haben, wie eingebettete Systeme, die vom Eigentümer gebaut, konfiguriert und verwaltet werden – Microsoft nennt das Beispiel eines Netzwerk-Firewall-Geräts in einem Rechenzentrum. Die Idee ist, dass es keine Unbekannten im System geben sollte, um die Sicherheit weiter zu erhöhen.

In der IPE-Dokumentation sagt Microsoft:

Idealerweise ist ein System, das IPE nutzt, nicht für Allzweck-Computing gedacht und verwendet keine Software oder Konfiguration, die von einem Dritten erstellt wurde. Ein ideales System zur Nutzung von IPE hat sowohl veränderliche als auch unveränderliche Komponenten, jedoch ist der gesamte binäre ausführbare Code unveränderlich.

Das Unternehmen weist darauf hin, dass es für die bestmögliche Sicherheit wichtig ist, den Kernel und das Root-Dateisystem zu überprüfen. Microsoft weist auf einige Einschränkungen von IPE hin:

IPE kann die Integrität von anonymem ausführbarem Speicher nicht überprüfen, wie z. Da es sich um dynamisch generierten Code handelt, kann IPE leider nicht erkennen, dass dieser Code beim Übergang vom Erstellungsort zum Ausführungsort nicht manipuliert wurde. Daher ist IPE nicht in der Lage, dieses Problem für dynamisch generierten Code zu lösen.

IPE kann die Integrität von Programmen interpretierter Sprachen nicht überprüfen, wenn diese Skripte über aufgerufen werden. Dies liegt daran, dass Interpreter diese Dateien ausführen, die Skripte selbst werden nicht als ausführbarer Code durch einen der Hooks von IPE ausgewertet. Interpreten können über die Verwendung von IPE aufgeklärt werden, indem sie versuchen, eine Datei in den ausführbaren Speicher (+X) zu kopieren, nachdem sie die Datei geöffnet und entsprechend auf den Fehlercode reagiert haben. Dies gilt auch für eingeschlossene Dateien oder Dateien mit hohem Wert, wie z. B. Konfigurationsdateien kritischer Systemkomponenten. Diese spezifische Lücke soll innerhalb des IPE geschlossen werden.

Mehr erfahren Sie auf der Durchsetzung von Integritätsrichtlinien (IPE) Seite auf Github.

Bildnachweis: Imagentle / Shutterstock



Vorheriger ArtikelGoogle löscht SMS-Benachrichtigungen für Kalender
Nächster ArtikelDer Großteil der Workloads wird bis Ende 2020 in der Cloud sein

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein