Gooi Win­dows op slot

On­ze tool ac­ti­veert pro­fes­si­o­ne­le be­vei­li­ging

C’t Magazine - - Inhoud - Axel Vahl­diek

Ransom­wa­re die je per­soon­lij­ke da­ta ver­sleu­telt is bij cy­ber­cri­mi­ne­len nog steeds erg in trek. Win­dows staat bij par­ti­cu­lie­ren im­mers vaak wa­gen­wijd open en dan is het met de soft­wa­re mak­ke­lijk geld ver­die­nen. Met on­ze c’t-tool maak je daar een eind aan.

Win­dows-pc's bij be­drij­ven en in­stel­lin­gen zijn vaak zo dicht­ge­tim­merd dat je er al­leen maar pro­gram­ma's op kunt star­ten die van te­vo­ren door de ad­mi­ni­stra­tor uit­druk­ke­lijk goed­ge­keurd zijn. Dat moet niet al­leen ver­hin­de­ren dat de me­de­wer­kers een spel­le­tje gaan spe­len in plaats van te wer­ken, maar be­schermt ook be­trouw­baar te­gen al­ler­lei vi­rus­sen en tro­jans. Er is in­mid­dels wel wat mal­wa­re die zich be­stands­loos in het sys­teem nes­telt [1], maar die werkt meest­al an­ders: een script op een ge­trof­fen web­si­te of een ma­cro in een ge­ïn­fec­teerd do­cu­ment down­lo­adt het ei­gen­lij­ke mal­wa­re­be­stand naar de har­de schijf en voegt dan een au­to­s­tart-item toe dat er­voor zorgt dat het pro­gram­ma­be­stand bij het op­star­ten van het sys­teem mee op­ge­start wordt. Als dat pro­gram­ma ech­ter niet in de lijst van toe­ge­sta­ne ap­pli­ca­ties staat, mis­lukt dat star­ten ook en kan de mal­wa­re ver­der niets aan­rich­ten.

Het­zelf­de geldt voor mal­wa­re die als uit­voer­baar be­stand via bij­voor­beeld de mail bin­nen­komt. Het me­cha­nis­me dat dit te­gen­houdt heet Soft­wa­re Re­stric­ti­on Po­li­cies (SRP). Daar­bij gaat het in prin­ci­pe om lijs­ten met toe­ge­sta­ne en ver­bo­den pro­gram­ma's en be­stands­ty­pen. Nieu­we­re Win­dows-ver­sies heb­ben een nog wat krach­ti­ge­re va­ri­ant daar­van met de naam Ap­pLoc­ker, maar voor be­vei­li­ging te­gen ransom­wa­re is het al bij Win­dows XP in­ge­voer­de SRP vol­doen­de.

Dat helpt pri­vé­ge­brui­kers ech­ter niets, want de Ho­me-ver­sies van Win­dows moe­ten het zon­der de tools doen die no­dig zijn voor het con­fi­gu­re­ren van SRP – ter­wijl SRP ook voor de Ho­me­ver­sies werkt. We heb­ben dat pro­bleem op­ge­lost: met ons pro­gram­ma Re­stric'tor kun je SRP bij al­le Win­dows-ver­sies op de­zelf­de ma­nier con­fi­gu­re­ren en be­he­ren.

In dit ar­ti­kel gaan we wat meer in op wat SRP ei­gen­lijk is, wel­ke ge­vol­gen het heeft en hoe je op je ei­gen pc zon­der het ac­ti­ve­ren van SRP van te­vo­ren kunt tes­ten wat er al­le­maal mee ge­blok­keerd wordt. Dat ver­ge­mak­ke­lijkt het kie­zen op wel­ke com­pu­ters je SRP wilt toe­pas­sen. Want het moet wel dui­de­lijk zijn: SRP is voor veel, maar niet voor al­le pc's ge­schikt. Het vol­gen­de ar­ti­kel ver­klaart het ge­bruik van on­ze tool Re­stric'tor en laat zien hoe je Win­dows zo ver kunt krij­gen dat je van­zelf ge­ïn­for­meerd wordt als er te­gen je re­gels wordt in­ge­gaan. We ge­ven tips hoe je bij de eer­ste keer star­ten van een pro­gram­ma al kunt her­ken­nen of het mo­ge­lijk om mal­wa­re gaat.

Schrik niet te­rug van de leng­te van dat ar­ti­kel. Ook al pro­be­ren we om met on­ze Re­stric'tor je zo­veel mo­ge­lijk werk uit han­den te ne­men, dan nog kan het con­fi­gu­re­ren en be­he­ren van SRP met eni­ge moei­te ge­paard gaan – af­han­ke­lijk van het ge­bruik van een Win­dows-in­stal­la­tie kan dat va­ri­ë­ren van een keer in­stel­len en ver­der ver­ge­ten tot een con­ti­nu door­lo­pen­de zorg. Je pro­fi­teert dan ech­ter wel van een voor pri­vé­ge­brui­kers tot nu toe on­be­reik­baar be­vei­li­gings­ni­veau on­der Win­dows. Lees de ar­ti­ke­len rus­tig door en over­weeg dan hoe­veel moei­te je voor het ge­bruik van SRP op je com­pu­ters moet in­ves­te­ren en of je dat de winst aan be­vei­li­ging waard is. Denk daar­bij ook aan al­le pc's waar je in de vrien­de­nen fa­mi­lie­kring de ad­min speelt (zie c’t 9/2017). In de prak­tijk zul­len de mees­ten van hen wei­nig mer­ken van ge­ac­ti­veer­de SRP, en je hebt zelf het voor­deel dat je niet steeds weer een vi­rus van een pc af moet ko­men ha­len. Dan heb je toch voor­deel van SRP, ook al ge­bruik je die zelf niet.

Langs het Ge­brui­kers­ac­count­be­heer

Eerst nog even iets over waar­om een stan­daard Win­dows-in­stal­la­tie ook van­daag de dag nog al­tijd wa­gen­wijd open­staat. Mi­cro­soft heeft de laat­ste ja­ren im­mers wel wat moei­te ge­daan om dat te­gen te gaan. Sinds Ser­vi­ce Pack 2 van Win­dows XP zit er bij­voor­beeld een fire­wall in en sinds Win­dows 8 een vi­rus­scan­ner. Sinds Vis­ta wer­ken de ge­brui­kers nor­maal ge­spro­ken met be­perk­te ge­brui­kers­rech­ten – zelfs als ze als ad­mi­ni­stra­tor aan­ge­meld zijn.

Daar zorgt het Ge­brui­kers­ac­count­be­heer voor, of­te­wel het User Ac­count Control (UAC). Het UAC zorgt er­voor dat elk pro­ces dat een als ad­mi­ni­stra­tor aan­ge­mel­de ge­brui­ker start, des­on­danks in eer­ste in­stan­tie met be­perk­te rech­ten draait. Dat geldt zelfs voor de Ver­ken­ner. Zon­der ad­mi­ni­stra­tor­rech­ten heb je on­der meer niet over­al schrijf­toe­gang. Dat geldt bij­voor­beeld voor de Win­dows­map en die van de Pro­gram Fi­les. Als een pro­ces daar wat in wil schrij­ven of naar­toe wil ko­pi­ë­ren, moet het al met ad­mi­ni­stra­tor­rech­ten ge­start zijn of moe­ten die als­nog toe­ge­kend wor­den. Dat wordt al­le­bei op­ge­lost met de be­ken­de vraag "Wilt u toe­staan dat … ?". Al­le an­de­re pro­ces­sen star­ten des­on­danks weer met be­perk­te rech­ten.

Het con­ti­nue ge­vraag van het UAC werkt op een ge­ge­ven mo­ment wat op de ze­nu­wen, ze­ker als je zelf op iets ge­klikt hebt en je het ei­gen­lijk na de eer­ste klik al ze­ker wist. Als een der­ge­lij­ke vraag om toe­stem­ming ech­ter van­uit het niets ver­schijnt, dan pro­beert waar­schijn­lijk het een of an­de­re pro­gram­ma op de

ach­ter­grond om ad­mi­ni­stra­tor­rech­ten te krij­gen. Dan be­staat al­tijd het ri­si­co dat het om mal­wa­re gaat. Als je op zo'n mo­ment dan sim­pel­weg op Ja klikt, heb je ver­lo­ren als het daad­wer­ke­lijk om een kwaad­wil­lend pro­gram­ma gaat. Een pro­ces met ad­mi­ni­stra­tor­rech­ten mag im­mers al­les op het sys­teem. Je kunt het ach­ter­af rech­ten ont­ne­men, maar als een pro­ces een­maal als ad­mi­ni­stra­tor draait, kan het zich ont­bre­ken­de toe­gangs­rech­ten weer een­vou­dig zelf toe­ken­nen. Al­leen de vi­rus­scan­ner zou dan nog roet in het eten kun­nen gooi­en, maar een met ad­mi­ni­stra­tor­rech­ten draai­end pro­gram­ma kan zich daar mak­ke­lijk voor ver­stop­pen of hem een­vou­dig­weg uit­scha­ke­len.

De mal­wa­re-pro­gram­meurs wa­ren een van de eer­sten die be­sef­ten dat de UAC-vra­gen op een aan­val kon­den wij­zen. Daar­om pro­be­ren ze zo­veel mo­ge­lijk te voor­ko­men dat ze din­gen doen die een der­ge­lij­ke vraag ac­ti­ve­ren. En dat zou ook geen nut heb­ben, want als ransom­wa­re de door UAC be­vei­lig­de Win­dows-map zou ver­sleu­te­len, kun je Win­dows al­tijd sim­pel­weg nog op­nieuw in­stal­le­ren. De map­pen in het ge­brui­kers­pro­fiel wor­den niet door UAC be­schermd en zijn wel te ver­sleu­te­len. Daar staan de per­soon­lij­ke foto's, vi­deo's en do­cu­men­ten van de ge­brui­kers in, en als je daar geen back-up van hebt, zul je eer­der ge­neigd zijn het ge­ëis­te los­geld te be­ta­len. En om­dat er ook voor ge­brui­kers met be­perk­te rech­ten plaat­sen zijn waar ze au­to­s­tarts kun­nen neer­zet­ten, kan mal­wa­re zich pro­bleem­loos zon­der ad­mi­ni­stra­tor­rech­ten op het sys­teem nes­te­len – en daar­door heeft Win­dows in de stan­daard­in­stel­ling de deu­ren wa­gen­wijd open­staan.

Om dat pro­bleem op te los­sen, kun je de con­tro­le door het Ge­brui­kers­ac­count­be­heer ook voor de ge­brui­kers­map­pen in­stel­len, maar dan wordt het re­de­lijk on­mo­ge­lijk om nog zin­nig te wer­ken: el­ke keer als je een do­cu­ment op­slaat of een back-up maakt, krijg je die vraag dan, net als bij el­ke ko­pie die je maakt, elk be­stand dat je ver­wij­dert en­zo­voort. Dat zou meer pro­ble­men op­le­ve­ren dan op­los­sen.

SRP biedt uit­komst

Soft­wa­re Re­stric­ti­on Po­li­cies wer­ken an­ders: ze zor­gen er­voor dat Win­dows al­leen het star­ten van van te­vo­ren in­ge­stel­de pro­gram­ma's toe­staat. Daar­door kan mal­wa­re zich wel in het ge­brui­kers­pro­fiel nes­te­len, maar van daar­uit niet star­ten en daar­door geen scha­de aan­rich­ten. De be­per­kin­gen gel­den daar­bij uit­slui­tend voor uit­voer­ba­re be­stan­den, dus be­stands­ty­pen als exe, bat, vbs en der­ge­lij­ke. Die lijst is aan te pas­sen. Do­cu­men­ten wor­den door SRP daar­en­te­gen niet be­schermd: het ope­nen van tek­sten, spread­sheets, vi­deo's et ce­te­ra is dus ook met ge­ac­ti­veer­de SRP zon­der pro­ble­men mo­ge­lijk. Het is al­leen be­lang­rijk dat het aan het do­cu­ment­ty­pe ge­kop­pel­de pro­gram­ma is toe­ge­staan, bij­voor­beeld het Of­fi­ce-pak­ket.

Er zijn ver­schil­len­de soor­ten re­gels die het star­ten van soft­wa­re toe­staan. Voor af­zon­der­lij­ke uit­voer­ba­re be­stan­den is een 'hashre­gel' aan te ra­den. Bij het aan­ma­ken van zo'n re­gel maakt Win­dows zelf een hash­waar­de – een soort een­dui­di­ge vin­ger­af­druk – van het be­stand en kijkt in het ver­volg bij het star­ten van een uit­voer­baar be­stand of dat een van de toe­ge­sta­ne hash­waar­den heeft. Al­leen dan wordt het uit­ge­voerd, an­ders niet. Door de hash­waar­de maakt het niet uit waar het be­stand staat en hoe het heet, het is al­leen van be­lang dat het niet ver­an­dert. Mal­wa­re zal pro­be­ren om een be­stand te ver­an­de­ren, wat tot een on­juis­te hash­waar­de leidt.

Het is na­tuur­lijk wel re­de­lijk om­slach­tig om voor al­le pro­gram­ma's die je ge­bruikt elk een hashre­gel op te stel­len. Daar­om is er nog een an­der re­gel­ty­pe: de pad­re­gel. Daar­mee wordt be­doeld dat je met een en­ke­le re­gel de com­ple­te in­houd van een map met al zijn sub­map­pen toe­stem­ming geeft. Dat is bij­voor­beeld han­dig voor de map­pen 'Win­dows' en 'Pro­gram Fi­les' – zon­der uit­zon­de­rings­re­gel voor die map­pen zou geen en­ke­le van de daar ge­ïn­stal­leer­de pro­gram­ma's meer kun­nen star­ten, maar ook Win­dows zelf niet. Je blijft dan naar een zwart scherm zit­ten kij­ken. Daar­om maakt Win­dows bij het ac­ti­ve­ren van het SRP-me­cha­nis­me uit zich­zelf al pad­re­gels voor die twee map­pen aan.

Bij het aan­ma­ken van pad­re­gels moet je op­let­ten dat je al­leen pa­den toe­staat waar­voor ge­brui­kers met be­perk­te rech­ten geen schrijf­toe­gang heb­ben. Je moet dan de rech­ten­com­bi­na­tie voor schrij­ven en uit­voe­ren ver­hin­de­ren, want in een map waar­in bei­de te­ge­lijk zijn toe­ge­staan, kan mal­wa­re zich on­ge­merkt nes­te­len. Bij de map 'Pro­gram Fi­les' heeft een ge­brui­ker met be­perk­te rech­ten geen schrijf­toe­gang, daar­om kan een der­ge­lij­ke pad­re­gel zon­der pro­ble­men in­ge­steld wor­den. Voor de Win­dows-map geldt dat niet: er­gens on­der­in het be­stands­sys­teem zit­ten af­zon­der­lij­ke sub­map­pen waar­in ge­brui­kers en pro­ces­sen ook zon­der ami­ni­stra­tor­rech­ten mo­gen schrij­ven. On­ze tool Re­stric'tor heeft daar­om een op­tie om der­ge­lij­ke sub­map­pen te zoe­ken en te blok­ke­ren met ex­tra pad­re­gels. SRP's kun­nen niet al­leen toe­staan, maar ook ver­bie­den. In een ver­bo­den map kun je de af­zon­der­lij­ke be­stan­den met een hashre­gel dan toch weer toe­staan.

Mak­ke­lijk ma­ken

SRP's kun­nen niet al­leen voor ge­brui­kers met be­perk­te rech­ten gel­den, maar ook

Een vi­rus­scan­ner is al­lang niet meer

ge­noeg

voor ad­mi­ni­stra­to­rac­counts. Dat is in de mees­te ge­val­len niet aan te ra­den, want dat maakt het werk on­no­dig moei­lijk: als de SRP's al­leen voor ge­brui­kers met be­perk­te rech­ten gel­den, kun­nen ze als ze dat wil­len een pro­gram­ma met een rech­ter­muis­klik 'Als ad­mi­ni­stra­tor uit­voe­ren' en op die ma­nier wil­le­keu­ri­ge pro­gram­ma's uit­voe­ren. Voor pro­gram­ma's die so­wie­so ad­mi­ni­stra­tor­rech­ten no­dig heb­ben, hoe­ven dan ook geen re­gels te wor­den aan­ge­maakt. En zit je toe­val­lig net met een dead­line, dan kun je ook met ge­ac­ti­veer­de SRP's even een op dat mo­ment on­mis­baar pro­gram­ma star­ten, zelfs als er daar nog geen uit­zon­de­rings­re­gel voor is.

Ook het in­stal­le­ren van pro­gram­ma's is zon­der pro­ble­men mo­ge­lijk: start het set-up­pro­gram­ma ge­woon als ad­mi­ni­stra­tor. Als de soft­wa­re op de juis­te ma­nier in de pro­gram­ma­map ge­ïn­stal­leerd wordt, hoef je er niet eens een uit­zon­de­rings­re­gel voor op te stel­len.

Al­leen even kij­ken!

Als je al­leen wilt we­ten wat de uit­wer­king van de SRP's op je ei­gen com­pu­ter zijn, kun je dat ge­woon uit­pro­be­ren. Dan laat je Win­dows in een log­be­stand al­le pro­gram­mas­tarts re­gi­stre­ren die bij ge­ac­ti­veer­de SRP door de re­gels be­waakt zou­den wor­den. Op die ma­nier kun je ach­ter­ha­len wat SRP's op je com­pu­ter voor ge­vol­gen heb­ben zon­der ze daar­voor te moe­ten ac­ti­ve­ren.

Down­load via de link on­der­aan dit ar­ti­kel ons pro­gram­ma Re­stric'tor en start het als ad­mi­ni­stra­tor. Op het eer­ste tab­blad on­der­aan kun je een log­be­stand aan­ma­ken. Ga via de 'Brow­se'-knop naar een be­schrijf­ba­re map en geef een be­stands­naam op. Klik dan op 'Op­slaan'. Als je dan nog op 'Ap­ply' klikt en 'Ja' als ant­woord geeft op de vraag of de ver­an­de­rin­gen in het Re­gis­ter moe­ten wor­den ge­schre­ven, maakt Win­dows het log­be­stand aan. Dat kun je la­ter le­zen met een ge­wo­ne edi­tor zo­als het Klad­blok.

Het log­be­stand be­vat geen per­soon­lij­ke in­for­ma­tie, maar al­leen wat ge­ge­vens over de ge­re­gi­streer­de ge­beur­te­nis­sen: elk item be­gint met de naam van het star­ten­de pro­ces, dus bij­voor­beeld sv­chost.exe bij het star­ten van ser­vi­ces of ex­plo­rer.exe als je zelf een pro­gram­ma via het start­me­nu of van­uit de Ver­ken­ner op­start. Dan vol­gen de pro­ces-ID (PID), de naam en het pad van het ge­star­te pro­gram­ma en als laat­ste de ID van de re­gel die het star­ten toe­staat. Om­dat Win­dows niet meer in­for­ma­tie op­slaat dan dat en al­leen bij het star­ten van een pro­gram­ma wat in het log­be­stand schrijft, is dat nor­maal ge­spro­ken ook na een paar we­ken niet meer dan een paar MB groot.

Om een over­zicht te krij­gen van hoe veel uit­zon­de­rings­re­gels er naast de stan­daard­re­gels voor de Win­dows- en pro­gram­ma­map­pen no­dig zou­den zijn, ge­bruik je je pc na het ac­ti­ve­ren van het log­be­stand ge­woon een paar da­gen net als voor­heen. Daar­na kijk je in het log­be­stand. Tip: als je het log­be­stand te on­o­ver­zich­te­lijk vindt, ko­pi­eer je de he­le in­houd even in een spread­sheet van een of­f­ice­pak­ket en sor­teer je op de ko­lom met de pad­na­men. Al­leen de re­gels waar­in de pa­den an­ders be­gin­nen dan met de ge­noem­de uit­zon­de­rin­gen 'C:\Pro­gram Fi­les' en 'C:\Win­dows' zijn in­te­res­sant. Bij een 64-bit Win­dows-ver­sie gel­den de stan­daard­re­gels ook voor de map 'C:\Pro­gram Fi­les (x86)'.

Bij on­ze test ge­beur­de het soms dat Win­dows op­hield met het re­gi­stre­ren in het log­be­stand als de com­pu­ter meer­de­re da­gen aan­stond. Bij een her­start be­gon dat weer ge­woon. Een re­den daar­voor heb­ben we niet kun­nen ont­dek­ken, en dra­ma­tisch is het ook niet om­dat een her­start het pro­bleem op­lost en er geen an­de­re op­ties voor het be­wa­ken van SRP's zijn die be­trouw­baar wer­ken – zie het ka­der op pa­gi­na 54.

Ver­an­de­rin­gen door SRP's

Ook al wer­ken al­le apps uit de Sto­re en de mees­te gang­ba­re pro­gram­ma’s pro­bleem­loos met ge­ac­ti­veer­de SRP's, je moet er toch even aan wen­nen. Win­dows her­kent bij­voor­beeld pro­gram­ma's die ad­mi­ni­stra­tor­rech­ten no­dig heb­ben aan de hand van som­mi­ge vas­te be­stands­na­men als setup.exe en in­stall.exe of aan een in het be­stand zit­tend ma­ni­fest dat de rech­ten aan­geeft. De be­wa­king door de SRP's slaat in al­le ge­val­len ech­ter eer­der aan en ver­hin­dert daar­mee het op­vra­gen van die ge­ge­vens en daar­door het star­ten van het pro­gram­ma. Ook hier helpt het weer om het pro­gram­ma met een rech­ter­muis­klik als ad­mi­ni­stra­tor uit te la­ten voe­ren. Der­ge­lij­ke pro­gram­ma's her­ken je aan een klein schild­je rechts­on­der in het pro­gram­ma­pic­to­gram.

Als je graag por­ta­ble pro­gram­ma's ge­bruikt die niet ge­ïn­stal­leerd hoe­ven te wor­den, kan dat ook bij ge­ac­ti­veer­de SRP's. Voor por­ta­ble sys­tee­m­u­ti­li­ty's die al­leen met ad­mi­ni­stra­tor­rech­ten wer­ken, zijn niet eens re­gels no­dig. Voor al­le an­de­re maak je even hashre­gels aan. Al­le por­ta­ble pro­gram­ma's die af en toe of zelfs va­ker up­da­tes no­dig heb­ben, zo­als een brow­ser of mail­client, zijn ech­ter een pro­bleem. Daar­bij moet je de re­gels el­ke keer aan­pas­sen en dan zo­wel voor het up­da­te­pro­gram­ma als het pro­gram­ma zelf en soms ook voor het wrap­per-pro­gram­ma dat er­voor zorgt dat het über­haupt por­ta­ble is. Dat is op de lan­ge ter­mijn al­leen leuk als je over sta­len ze­nu­wen be­schikt. We ra­den in die ge­val­len aan niet de por­ta­ble ver­sies van die pro­gram­ma's te ge­brui­ken, maar de in­stal­leer­ba­re ver­sies. In de pro­gram­ma­map gaat het dan ook met up­da­ten goed.

In som­mi­ge ge­val­len zor­gen ge­ïn­stal­leer­de pro­gram­ma's ech­ter ook voor pro­ble­men. Goog­les brow­ser Chro­me kan af­han­ke­lijk van de ver­sie naar keu­ze in het ge­brui­kers­pro­fiel ge­ïn­stal­leerd wor­den, maar van daar­uit werkt hij al­leen met ex­tra re­gels – die door de up­da­tes dan tel­kens weer aan­ge­past moe­ten wor­den. Daar­om is het aan te ra­den Chro­me in plaats daar­van in de pro­gram­ma­map te in­stal­le­ren, dan werkt al­les in­clu­sief de up­da­tes ook zon­der ex­tra re­gels. In het ge­val van Spo­ti­fy zit het nog weer an­ders: de client wil zich so­wie­so in het ge­brui­kers­pro­fiel in­stal­le­ren, maar dat le­vert door de ve­le up­da­tes ook weer ge­doe met re­gels op. Maar ook hier is er een op­los­sing: de web­play­er. Die werkt zon­der uit­zon­de­rings­re­gels in de brow­ser. Hij staat op play.spo­ti­fy.com. Bij Elec­tron-apps zo­als What­sApp de­den zich an­de­re pro­ble­men voor. Die apps staan ook in de ge­brui­kers­map. Het­zelf­de geldt voor OneDri­ve, Steam en Ori­gin. Daar wa­ren al­le­maal uit­zon­de­rings­re­gels voor no­dig.

Soms ge­ven ook pro­gram­ma's die wel in de pro­gram­ma­map ge­ïn­stal­leerd staan pro­ble­men bij het up­da­ten. De PDF-vie­wer Foxit Rea­der zet bij­voor­beeld het be­stand up­da­ter.exe in de Temp-map van het ge­brui­kers­pro­fiel, maar kan die van daar­uit niet star­ten als SRP ge­ac­ti­veerd is. Het toe­voe­gen van een pad­re­gel als uit­zon­de­ring mag hier niet om­dat de ge­brui­ker hier schrijf­rech­ten heeft. Een al­ter­na­tief is om voor up­da­ter.exe een hashre­gel op te stel­len, maar die moet dan tel­kens bij­ge­werkt wor­den, of om het au­to­ma­tisch up­da­ten uit te zet­ten en de rea­der als ad­mi­ni­stra­tor te star­ten om het pro­gram­ma up­da­tes te la­ten in­stal­le­ren.

Ook het wer­ken met scripts is even wen­nen, om­dat die als uit­voer­ba­re be­stan­den on­der de SRP-re­gels val­len. Je kunt niet meer met rechts klik­ken op batch­be­stan­den en 'Be­wer­ken' kie­zen in het snel­me­nu om ze te ope­nen met een edi­tor. Je kunt ech­ter wel eerst je edi­tor star­ten en het script daar­in ope­nen of het van­uit de Ver­ken­ner naar de edi­tor sle­pen om het te be­wer­ken. Het uit­voe­ren van een script moet dan weer met ad­mi­ni­stra­tor­rech­ten of na het aan­ma­ken van de bij­pas­sen­de re­gel.

De Win­dows Po­werShell werkt bij ge­ac­ti­veer­de SRP in een 'Con­s­trai­ned Lan­gu­a­ge Mo­de' waar­mee toe­gang tot de mees­te COM-en .NET-ob­jec­ten ver­bo­den is. Ge­wo­ne Cmd­lets wer­ken ech­ter net als voor­heen en bij Po­werShell-ses­sies die met ad­mi­ni­stra­tor­rech­ten ge­start wor­den ver­an­dert er niets. De­tails krijg je met het com­man­do Get-Help about_Lan­gu­a­ge_Mo­des.

In het log­be­stand ko­men ook steeds weer items te staan met .lnk-be­stan­den, maar die kun je bij het door­zoe­ken ge­woon ne­ge­ren. Daar­bij gaat het al­leen om snel­kop­pe­lin­gen die van­uit se­cu­ri­ty­oog­punt niet kri­tisch zijn om­dat het doel van de snel­kop­pe­lin­gen ook door SRP be­waakt wordt – meer daar­over in het vol­gen­de ar­ti­kel.

En daar gaat hij…

Na het ana­ly­se­ren van het log­be­stand kun je be­slis­sen op wel­ke ei­gen of door jou be­heer­de pc's je SRP wilt ac­ti­ve­ren. In het vol­gen­de ar­ti­kel staat hoe je dat met Re­stric'tor doet. Daar­in staat ook hoe je het blok­ke­ren van pro­gram­ma's zo mak­ke­lijk mo­ge­lijk kunt be­wa­ken. (nkr)

SRP kan vi­rus­sen wel stop­pen, maar niet de ge­brui­ker

Li­te­ra­tuur [1] Oli­via von Wes­tern­ha­gen en Jürgen Sch­midt, Het on­zicht­ba­re ge­vaar, Mal­wa­re zon­der be­stan­den om­zeilt be­vei­li­ging, c't 6/2017, p.122

Soft­wa­re Re­stric­ti­on Po­li­cies (SRP) zor­gen er­voor dat al­leen van te­vo­ren toe­ge­sta­ne pro­gram­ma's mo­gen star­ten – mal­wa­re wordt daar­en­te­gen ge­blok­keerd.

Zo'n vraag is wel­licht ir­ri­tant als je het be­tref­fen­de pro­gram­ma net zelf ge­start hebt. Maar als der­ge­lij­ke vra­gen zo­maar uit het niets ver­schij­nen, zijn ze een dui­de­lijk alarm­sig­naal.

Als SRP goed ge­con­fi­gu­reerd is, kun je ook na ac­ti­va­tie nog wil­le­keu­ri­ge pro­gram­ma's star­ten als je dat uit­druk­ke­lijk als ad­mi­ni­stra­tor doet.

Newspapers in Dutch

Newspapers from Netherlands

© PressReader. All rights reserved.