EXE beveiliging op Windows 10 Home

Vraag

vrijdag 26 februari 2016 13:05

Acties:

0 Henk 'm!

Guido1982

Topicstarter

Ik ben eigenlijk webontwikkelaar, schrijf vooral javascript en PHP. Maar nu heeft mijn moeder voor haar kleine kantoor (4 mensen, 3 PC's) gevraagd of ik haar wil begeleiden in het aanschaffen van nieuwe PC's. Ik heb een drietal ASUS i5's aangescshaft met windows 10 Home. Er wordt op dit kantoor alleen aan wat tekstverwerking, mail en een licht speciaal software pakket gebruikt.

Nu ben ik (zoals hierboven beschreven) absoluut geen expert in systeembeheer en realiseer ik me dat ik niet de meest hardcore hardware aangeschaft heb. Toch wil ik even kijken hoe ik onder deze omstandigheden de beste beveiliging kan instellen, zeker omdat er pas geleden sprake is geweest van ransomware.

Er is natuurlijk een abo op een professionele antivirus aanwezig. Maar ook die heeft de recente ransomware niet tegen kunnen houden. Nu was mijn plan om gewoon alle EXE's te blocken behalve Word, Outlook en een paar andere veelgebruikte. Ik kwam er alleen achter dat Applocker niet voor windows 10 home beschikbaar was en dat er geen goed alternatief voor was. Nu heb ik via het Windows family beveiligingssysteem een account voor iedere PC aangemaakt en mezelf als admin én ouder voor alle accounts ingesteld.

Zijn er dingen die ik onder deze omstandigheden nog kan doen? Alle tips worden zeer gewaardeerd.

Alle reacties

vrijdag 26 februari 2016 13:39

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

IMHO gaat werken mer een whitelist alleen goed in een grotere strak-beheerde omgeving. Juist niet in een kleine. Het is lastig om uitputtend te zijn maar dan weer niet te losjes. Zeker als er dan een dag later een update uitkomt van tooltje1 of pakketje2.

Maar sowieso gaat het met Home idd vast niet werken. Wel kan je nog een stuk meer doen qua beveiliging.

Ik mis goed (alles) updaten, zo weinig mogelijk rechten geven (nooit adminrechten), backup, tweede backup naar ook andere locatie, beide controleren, geen Flash, geen Java, etc. Misschien goed om wat oudere discussies over het beveiligen van PC's door te nemen. Dit netwerkje is erg vergelijkbaar met een klein losse PC. En rechten op netwerkshares ook minimaal houden: liefst niet of alleen-lezen (dan kan de malware er ook niet bij).

En alle gebruikers trainen: niet zomaar een attachment openen, etc.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 26 februari 2016 14:26

Acties:

0 Henk 'm!

Guido1982

Topicstarter

Zoiets had ik al uitgevogeld inderdaad. Voor Home is er niet echt een goede oplossing. Wat ik vaak mis in dit soort dingen zijn oplossingen voor het MKB. Alles is óf voor de thuisgebruiker óf voor de multinational.

Uiteraard zijn alle updates uitgevoerd. Ik heb windows defender als vaste wekelijkse taak ingesteld. Ik heb een admingebruiker met mijn eigen microsoft profiel aangemaakt, dat door gebruikers niet gebruikt gaat worden uiteraard. Even getest, bijvoorbeeld VLC installeren gaat niet zonder mijn wachtwoord, ik hoop dat dit ook bij het openen van malware als e-mail bijlage gaat triggeren. Java staat er op als bloatware maar ga ik verwijderen.

Wat backups betreft, er staat een NAS waarop twee backup schijven twee keer per week fysiek gewisseld worden (dit stond er al). Daarnaast heb ik 8 32GB USK sticks gekocht en wilde ik een ROBOCOPY script maken om deze afwisselend de HDD van de NAS te laten backuppen. Deze worden dan fysiek op een andere lokatie bewaard.

Wat betreft training, daar zit nog wel een inhaalslag inderdaad maar ik zou zo veel mogelijk willen ondervangen. Eerdere instructies om niet alles te openen hebben helaas twee ransomware besmettingen niet kunnen voorkomen.

In ieder geval dank voor je reactie.

vrijdag 26 februari 2016 14:27

Acties:

0 Henk 'm!

Guido1982

Topicstarter

F_J_K schreef op vrijdag 26 februari 2016 @ 13:39:
IMHO gaat werken mer een whitelist alleen goed in een grotere strak-beheerde omgeving. Juist niet in een kleine. Het is lastig om uitputtend te zijn maar dan weer niet te losjes. Zeker als er dan een dag later een update uitkomt van tooltje1 of pakketje2.

Inderdaad: voor Home is er gewoon geen echte mogelijkheid tot whitelisten.

vrijdag 26 februari 2016 14:54

Acties:

0 Henk 'm!

Baserk

Afhankelijk van de gebruikers, is een licentie voor HitmanPro.Alert wellicht een idee.
Superieure bescherming tegen ransomware, biedt exploit-mitigation en meer.
Een licentie voor 3 jaar en voor 3 pc's komt op zo'n €60. Klik (Abonneren op de nieuwsbrief biedt 15% korting).
En je krijgt de on-demand malware scanner HitmanPro3 er gratis bij. Deze zal de reguliere AV niet in de weg zitten.

N.B. Vooralsnog biedt Surfright geen zakelijke ondersteuning.

Romanes eunt domus | AITMOAFU

vrijdag 26 februari 2016 16:32

Acties:

0 Henk 'm!

Verwijderd

Baserk schreef op vrijdag 26 februari 2016 @ 14:54:
Afhankelijk van de gebruikers, is een licentie voor HitmanPro.Alert wellicht een idee.
Superieure bescherming tegen ransomware, biedt exploit-mitigation en meer.
Een licentie voor 3 jaar en voor 3 pc's komt op zo'n €60. Klik (Abonneren op de nieuwsbrief biedt 15% korting).
En je krijgt de on-demand malware scanner HitmanPro3 er gratis bij. Deze zal de reguliere AV niet in de weg zitten.

N.B. Vooralsnog biedt Surfright geen zakelijke ondersteuning.

+1

Voor de genoemde omgeving is dit zeker het overwegen waard.

vrijdag 26 februari 2016 21:46

Acties:

0 Henk 'm!

Guido1982

Topicstarter

Als de kwaliteit inderdaad zo goed is, is dat een hele nette prijs/kwaliteit verhouding en gaan we dat zeker overwegen. Dank voor de tip..

vrijdag 26 februari 2016 21:55

Acties:

0 Henk 'm!

wagenveld

Deze is ook aan te raden
https://www.foolishit.com/cryptoprevent-malware-prevention/

Gratis versie is gewoon een set policies, werkt ook op home.

vrijdag 26 februari 2016 22:09

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

Guido1982 schreef op vrijdag 26 februari 2016 @ 21:46:
Als de kwaliteit inderdaad zo goed is, is dat een hele nette prijs/kwaliteit verhouding en gaan we dat zeker overwegen. Dank voor de tip..

Ik persoonlijk ga liever voor een product dat in onafhankelijke (!) tests zoals http://www.av-comparative.../01/avc_sum_201512_en.pdf goed (top 4 a 5) uit de bus komt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

vrijdag 26 februari 2016 22:18

Acties:

0 Henk 'm!

Nvidiot

notepad!

Je zou ook EMET (https://support.microsoft.com/en-us/kb/2458544) kunnen installeren. Die blokkeert een hele hoop exploits van het succesvol draaien.

What a caterpillar calls the end, the rest of the world calls a butterfly. (Lao-Tze)

vrijdag 26 februari 2016 22:20

Acties:

0 Henk 'm!

downtime

Everybody lies

Guido1982 schreef op vrijdag 26 februari 2016 @ 14:26:
Zoiets had ik al uitgevogeld inderdaad. Voor Home is er niet echt een goede oplossing. Wat ik vaak mis in dit soort dingen zijn oplossingen voor het MKB. Alles is óf voor de thuisgebruiker óf voor de multinational.

Da's nogal kort door de bocht. Bedenk dat alles tot 1000 medewerkers tot MKB wordt gerekend. En als er geld genoeg wordt verdiend om het personeel elke maand te betalen dan kunnen 4 W10 Pro licenties er ook wel vanaf, als je beveiliging tenminste een beetje serieus neemt.

Beste beveiliging tegen ransonware is:

Alle users onder een normaal (niet-admin) account laten werken zodat ze niks kunnen installeren. Dit heb je al gedaan. Geef ze ook absoluut niet het password van het admin account.
Een Software Restriction Policy instellen (hier heb je Pro voor nodig) die alleen uitvoeren van software uit C:\Windows en de twee Program Files directories toestaat. Alleen executables toelaten in folders waar gewone users niet in kunnen schrijven.
Daarnaast de standaard maatregelen zoals een virusscanner.

Zo kan alleen software uitgevoerd worden die door een admin is geïnstalleerd (dat is immers de enige persoon die nog naar C:\Windows en Program Files kan schrijven). Ransomware wordt daardoor geblokkeerd omdat die niet vanuit die locaties start (maar vanuit de Temp folder).

vrijdag 26 februari 2016 22:29

Acties:

0 Henk 'm!

Guido1982

Topicstarter

Allemaal zeer bedankt voor de antwoorden, ik denk dat ik onder de omstandigheden het meeste al wel gedekt heb voor zover dat mogelijk is. Ik heb even gekeken naar de licentiekosten voor Windows 10 pro, en om eerlijk te zijn is dat inderdaad helemaal niet zo duur. Ik denk dat ik na alle mitsen en maren ga aanbevelen hier naar op te waarderen zodat ik alle ingebouwde restricties kan inschakelen.

Aangezien iedereen zeer variërende maar waardevolle antwoorden heeft gegeven kan ik alleen niet echt een "beste antwoord" kiezen. Dit ook omdat mijn vraag best wel breed was; er is niet echt één beste antwoord op denk ik.

[ Voor 22% gewijzigd door Guido1982 op 26-02-2016 22:31 ]

vrijdag 26 februari 2016 22:34

Acties:

+1 Henk 'm!

GerardVanAfoort

kalm aan

Welke av waar je een abo voor hebt heeft die ransomeare niet tegen kunnen houden?

NRG

vrijdag 26 februari 2016 22:41

Acties:

0 Henk 'm!

F_J_K

Moderator CSA/PB

Front verplichte underscores

GerardVanAfoort schreef op vrijdag 26 februari 2016 @ 22:34:
Welke av waar je een abo voor hebt heeft die ransomeare niet tegen kunnen houden?

Bedenk dat (welhaast per definitie) geen enkele AV alles tegenhoudt (terwijl het ook niet significant false positives geeft).

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

zaterdag 27 februari 2016 02:00

Acties:

0 Henk 'm!

photofreak

Nvidiot schreef op vrijdag 26 februari 2016 @ 22:18:
Je zou ook EMET (https://support.microsoft.com/en-us/kb/2458544) kunnen installeren. Die blokkeert een hele hoop exploits van het succesvol draaien.

EMET kan weliswaar het gros van de exploits tegenhouden, het zal je niet beschermen tegen vba macro's of executables in zip-mapjes.

maandag 29 februari 2016 15:51

Acties:

0 Henk 'm!

Guido1982

Topicstarter

GerardVanAfoort schreef op vrijdag 26 februari 2016 @ 22:34:
Welke av waar je een abo voor hebt heeft die ransomeare niet tegen kunnen houden?

Dit was McAffee. Ik weet even niet uit mijn hoofd welke pakketvorm.

maandag 29 februari 2016 15:52

Acties:

0 Henk 'm!

Guido1982

Topicstarter

F_J_K schreef op vrijdag 26 februari 2016 @ 22:41:
[...]

Bedenk dat (welhaast per definitie) geen enkele AV alles tegenhoudt (terwijl het ook niet significant false positives geeft).

Daar ben ik me zeker van bewust, vandaar het verscherpte backup regime.

maandag 29 februari 2016 15:54

Acties:

0 Henk 'm!

Guido1982

Topicstarter

Nvidiot schreef op vrijdag 26 februari 2016 @ 22:18:
Je zou ook EMET (https://support.microsoft.com/en-us/kb/2458544) kunnen installeren. Die blokkeert een hele hoop exploits van het succesvol draaien.

Kun je hier ook mee aangeven dat je ALLE executables wilt blocken met uitzondering van een whitelist?

dinsdag 1 maart 2016 14:16

Acties:

0 Henk 'm!

Verwijderd

Guido1982 schreef op maandag 29 februari 2016 @ 15:54:
[...]

Kun je hier ook mee aangeven dat je ALLE executables wilt blocken met uitzondering van een whitelist?

EMET blokt geen executables dat doet Windows Applocker, Voorbeeldje:

https://4sysops.com/archi...ker-and-other-ransomware/

Pagina: 1

Reageer

Onderwerpen

Vraag

Alle reacties