- Microsoft Windows Server™ 2003, Standard Edition (32-bit version) with Service Pack 1
- Microsoft Windows Server 2003, Enterprise Edition (32-bit and 64-bit versions) with Service Pack 1
- Microsoft Windows Server 2003, Datacenter Edition (32-bit and 64-bit versions) with Service Pack 1
- Microsoft Windows Server 2003 Certificate Server, Certificate Issuing and Management Components (CIMC) (Security Level 3 Protection Profile, Version 1.0)
- Microsoft Windows XP Professional with Service Pack 2
- Microsoft Windows XP Embedded with Service Pack 2
Achieving this certification is important to Microsoft, because of certain laws:
"[E]ffective 1 July 2002... departments and agencies within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Executive Branch shall acquire, for use on national security systems, only those COTS products or cryptographic modules that have been validated with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 International Common Criteria for Information Technology Security Evaluation, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Information Assurance Partnership (NIAP) Common Criteria Evaluation and Validation Scheme (CCEVS), or by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Institute of Standards and Technology (NIST) Federal Information Processing Standards (FIPS) Cryptographic Module Validation Program."
It is important to remember that "EALs refer to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of confidence in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 conclusions of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluation, and not to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 level of secrity cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product provides. In ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r words, you can have more confidence that a EAL4 product performs as advertised than an EAL2 product... But an EAL4 product will not necessarily provide more security."
What really matters is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Protection Profile used to evaluate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products. I read that "[t]he Microsoft products were evaluated against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Controlled Access Protection Profile," (CAPP) which is available here (.pdf). Here are a few choice excerpts from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CAPP. Where you see "TOE", think "Microsoft system".
- The system does not have to defend itself against physical attacks: "The processing resources of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TOE will be located within controlled access facilities which will prevent unauthorized physical access."
- Sorry, I had to highlight this statement: "There will be one or more competent individuals assigned to manage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TOE and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 information it contains."
- The following implies that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluated system should not be a publicly accessible server: "Any ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r systems with which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TOE communicates are assumed to be under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same management control and operate under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same security policy constraints. CAPP-conformant TOEs are applicable to networked or distributed environments only if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire network operates under cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same constraints and resides within a single management domain."
If you continue reading cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 document, you'll find a great deal of requirements for keeping audit records, authorizing users, vendor-provided documentation, and so forth. This is probably not what people first imagine when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y think of "secure" products.
Keep cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se assumptions in mind when you consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 importance of Microsoft products achieving EAL-4 certification.
Update: You can download cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Windows XP / Server 2003 Common Criteria Evaluation Technical Report in .zip format.
6 comments:
Haven't we been through this already? Yes, we have.
On a similiar thread..., I know that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sidewinder firewall also has achieved an EAL4+ rating:
"It recently achieved cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 highest level of EAL4+ Common Criteria certification possible (far stronger than ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r vendors' EAL4 ratings)."
http://www.securecomputing.com/index.cfm?skey=232
The reason I write this is simply in Jan 2006, I start a contract we're I'll be supporting Sidewinder Firewalls. I never heard of Sidewinder before but had heard of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 EAL rating from my studies for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP (no..., don't want to start a CISSP thread). Just curious if anyone has any comments on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Sidewinder.
Richard - I apologize for going off topic.
Thx, Sean C
Common Criteria is a sales tool for IT companies to peddle products and services to Government; nothing more, nothing less. The amazing thing is that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products do not reach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CC rating 'out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box'. For example, if a Government user would like Windows XP Professional SP2 to reach EAL4, it sure isn't set up that way following installation. Normally, many separate runs of 'lockdown', registry tweaks, Security Policy configurations, etc. must be done to even attempt reaching cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'clamied' EAL4. After that, try using it as a Workstation ;-). Good luck if you can do word processing with it.
Sad to see that Government is still setting itself up for failure by limiting itself to 'NIAP Certified' products. More like 'high priced' goods due to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 costs associated with getting an 'EAL 4+' certification. Companies have to recoup cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se costs somehow...usually by charging premium rates later...
It's good to see "competent individuals assigned to manage" in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. That's cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 biggest problem with security of any system. As much as *nix fan boys bash MS security, when it comes down to it, a well managed Windows server is just as secure as a well managed *nix server in most cases.
The security of any server, network device, application, etc. is *heavily* reliant upon cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 competency of its administrator to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system is secure and stays that way.
@chris
It is also *heavily* reliant on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 management of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 company that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system resides in.
Management can overrule any administrators insistance to secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box properly. Of course cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator can move on to anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r job, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box still isn't secure despite a compotent administrator being cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re.
There needs to be policy and procedure in place to *ALLOW* cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 administrator to properly secure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box (given cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 environment).
This may be why we see so many broken into systems in both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Government and private industry, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 need for such regulations as HIPPA, GLBA, et. al.
A few comments on a previous post:
Re: (anon) Common Criteria is a sales tool for IT companies to peddle products and services to Government; nothing more, nothing less.
Common Criteria is much more. In addition to being a sales/marketplace discriminator, Common Criteria is an evaluation methodology that can help product vendors improve cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir SDLC (including design, documentation, testing, etc.).
Moreover, Common Criteria evaluation is a requirement for IA and IA-enabled products sold into cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 US Federal and Global governments. The US has horizontal policies for procuring only products that meet Common Criteria, and certain agencies have vertical requirements that are more detailed (e.g., requiring adherence to a Protection Profile).
The amazing thing is that most of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products do not reach cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CC rating 'out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box'.
Because of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 nature of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CC, it doesn’t necessarily always make sense for a product to be configured for CC out of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 box. Of course, it's doable, especially at lower assurance levels. But at higher assurance levels, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CC requires more stringent documentation and assurance measures against cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product's functional requirements. The problem is that end users do not always have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same stipulations for functional requirements to be evaluated. Even if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product is shipped in evaluated configuration, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user will need to configure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 product according to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir respective systems security policies and postures. Oftentimes this conflicts with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 evaluated configuration of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 point products, but that's a discussion for anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r time.
Companies have to recoup cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se costs somehow...usually by charging premium rates later...
This is not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 case. I ran cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 security assurance program for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 most active product vendors in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 FIPS 140/Common Criteria certifications space, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re is little to no room to add cost-recovery mechanisms to certified products. Why? Well, having certification is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ante to sell certain products to Government. Past that, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 potential buyer will look at performance, interoperability, and cost. Product vendors can not and do not typically increase costs to products sold to government to recover certification costs because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 market (e.g., a competitor) does not. The cost essentially materializes as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 'cost of doing business'.
Post a Comment