Norsk produkt sikrer Windows 95

De fleste har etter hvert kommet til den konklusjon at det ikke er mulig å hindre uvedkommende i enkelt å få tilgang til innholdet på en PC med Windows 95. Vår test av Normans aksesskontroll-produkt viser at det faktisk er mulig.

La oss gjøre det klart med en gang; Norman Access Control (NAC) er ikke noe nytt produkt. Vi ville likevel teste dette, etter at en rekke "erfarne dataspesialister" overfor digi.no har uttalt at "det ikke er mulig å gjøre Windows 95 helt sikkert".
Vi testet tidligere i vår et annet sikkerhetsprodukt for Windows 95, som ble levert med en fingeravtrykkleser. Leseren fungerte fint, men programvaren var en stor vits. Når Norman Data Defence Systems nå kan fortelle at selskapet har inngått en avtale med norske Idex om å lage et tilsvarende produkt, har vi igjen fått håp for at Windows 95 kan brukes i sammenhenger hvor begrensing av tilgangen til innholdet er ønskelig. De to hovedkomponentene i det nye biometriske aksessproduktet finnes allerede, Idex sin fingerskanner IFF 100, og - ganske riktig - Norman Access Control.


Det samlede produktet er ikke helt klart ennå, antatt lanseringsdato er i august en gang. Men siden vi har prøvd en fingerskanner før, nøyde vi oss med å teste programvaren i denne omgang. Det er tross alt den som viktigst for sikkerheten.

Norman Access Control er et særdeles omfattende produkt. Manualen er på knappe 100 A4-ark og ble kun levert i filutgave. Vi vil med én gang anbefale brukerne om å lese denne grundig før systemet testes. Vi gjorde som nordmenn flest - hoppet over bruksanvisningen - med det resultat at flere ting skar seg slik at all informasjon på de berørte harddiskpartisjonene gikk tapt...

Hva kan så NAC tilby?

Etter at du har installert det og Windows 95 starter opp på nytt, får du opp NACs innloggingsvindu. For å få tilgang til systemet, må brukerens brukernavn være registrert i NAC. Det er det ikke første gang man starter opp, derfor logger du på som ADMIN med et standard passord.

Etter at du så har kommet inn i Windows 95 igjen, trykker du på NAC-ikonet i kontrollpanelet. Herfra gjøres alle innstillinger av systemet. Det første du bør gjøre, er å er starte opp Boot Security Manager. Denne hjelper brukeren med å hindre at uvedkommende får startet Windows 95.

Måten dette gjøres på, er å endre partisjonsdataene for oppstartspartisjonen.

Starter du maskinen med en normal oppstartsdiskett for operativsystemet, får du ikke tilgang til denne partisjonen. Du kan faktisk ikke se den i det hele tatt. Har du ikke flere partisjoner, får du heller ikke tilgang til noe på harddisken. Har du derimot flere partisjoner, er partisjonen som normalt er d: blitt endret til c:. Åpnes et program som FDISK, kan du se at filsystemet på oppstartspartisjonen er endret fra FAT16/32 til CP/M. Det hjelper ikke å gjøre endringer i MBR (Master Boot Record), det eneste du da oppnår er at du ikke kommer inn uten oppstartsdisketten til NAC. Denne lages også av Boot Security Manager og hjelper brukeren med å gjenopprette systemet hvis noe går galt. Også denne er selvsagt passordbeskyttet.

Det er heller ikke mulig å avbryte oppstarten av Windows 95 hvis du starter opp fra harddisken. Tastaturet er låst inntil du blir bedt om å skrive inn passordet.

Selv om man nå har beskyttet oppstartspartisjonen til Windows 95, er det mange som har delt opp harddiskene sine i flere partisjoner eller som har flere harddisker. For å beskytte disse, kan man for eksempel bruke kryptering bruke kryptering, som er inkluder i NAC.

For å få til dette, må du bruke et nytt verktøy fra kontrollpanelet, Harddisk Encrytion. Dette verktøyet krypterer hele partisjoner og kan bruke enten XOR-algoritmen eller en langsommere proprietær algoritme, som gir en mer effektiv beskyttelse. Også partisjonsdataene krypteres, slik at partisjonen fra DOS virker uformatert. Krypteringen tar endel tid, men avhenger av hvor stor partisjonen er. Beregn minst en halv time på en partisjon på 1 GB. Det anbefales også at du krypterer oppstartspartisjonen.

På det sikkerhetsnivået du nå er kommet, kan du hindre uvedkommende å starte opp Windows, men ofte ønsker du at flere brukere skal bruke den samme maskinen. Samtidig ønsker du kanskje ikke at alle skal ha de samme rettighetene til å lese filer og kjøre programmer. Også dette er det mulig å gjøre noe med i NAC.

Brukerne deles inn i forskjellige grupper som hver har forskjellige rettigheter. Du kan også endre rettighetene til hver bruker. Det mest ekstreme er Single Application Mode (SAM), hvor brukeren bare har lov til å kjøre én eneste utvalgt applikasjon, for eksempel en nettleser. Under SAM kan du dessuten forby visse tastekombinasjoner, for eksempel Ctrl+Alt+Del, og musaktiviteten utenfor applikasjonen er skrudd av, slik at alle ikoner, startmenyer og liknende ikke fungerer. Du kan selvsagt også hindre brukeren muligheten til å lagre eller lese filer på harddisken, og hvis brukeren lukker applikasjonen, må en starte maskinen på nytt for å komme i gang igjen.

Det er selvsagt mulig å la en bruker ha tilgang til flere ressurser, for eksempel ved at en bare begrenser tilgang til enkelte partisjoner, kataloger, filer eller applikasjoner, eventuelt at man stenger alt unntatt utvalgte filer og applikasjoner. En kan også kryptere enkeltfiler inne i Windows, men de pakkes likevel automatisk ut hvis en har logget seg på med rett navn.

Det er også mulig å logge alt det de forskjellige brukerne foretar seg mens de er pålogget maskinen, slik at en kan se om noen brukere forsøker å trenge forbi beskyttelsen

I tillegg til at NAC snart kan brukes sammen med fingerskanneren fra Idex, kan produktet også brukes sammen med to forskjellige smartkort (TCOS 1.2 og CARDOS 1.4). Da kan du bare logge inn ved hjelp av smartkortet, i tillegg til et passord.

Norman Access Control for Windows 95 koster 1950 kroner eksklusive mva. Prisen er lavere ved kjøp av flere lisenser. Hvor mye det vil koste sammen med fingerskanneren fra Idex, er ennå usikkert.

Hvis noen av leserne kjenner til at det faktisk er mulig å trenge forbi NAC uten å skade innholdet på diskene, oppfordres de til å fortelle dette til Norman eller oss. Norman kan dermed luke ut eventuelle hull og gjøre NAC enda sikrere.

Til toppen