Beveiligde mappen: nieuwe feature tegen ransomware
Mappen op slot als ingebouwde bescherming tegen ransomware
Met de inbouw van een nieuwe beschermlaag in de Fall Creators Update reageert Microsoft op de groeiende hoeveelheid ransomware. De functie zit echter goed verstopt.
De ontwikkelaars van ransomware hebben een eenvoudig en blijkbaar lonend verdienmodel ontworpen. Ze verspreiden malware die je eigen bestanden versleutelt – in de hoop dat het slachtoffer geen back-up heeft. De sleutel voor het herstellen van je waardevolle bestanden krijg je alleen door een bepaald bedrag in cryptovaluta te betalen. De rechtenstructuur van het bestandssysteem kan zulke aanvallen niet tegenhouden. Als het de criminelen lukt de computergebruiker over te halen een bepaald programma uit te voeren, dan heeft dat programma dezelfde schrijfrechten als die gebruiker. Dan gaat het bijvoorbeeld om de rechten in de mappen met de persoonlijke bestanden. Dat is ook logisch, want als je een tekstverwerker opent, wil je wat je daarmee typt ook in een bestand opslaan.
Goed uitgangspunt
In de Fall Creators Update zit nu een nieuwe rechtenlaag die echter ver van het bestandssysteem afligt en het genoemde probleem moet oplossen. Diep in het 'Windows Defender-beveiligingscentrum' (Windows Defender Security Center) zit de functie 'Controlled folder access'. Deze voorkomt dat programma's die daarvoor geen toestemming hebben, de inhoud van mappen veranderen. Om deze bescherming te activeren open je het Windows Defender-beveiligingscentrum. Klik links op het pictogram van het schild. Dan verschijnt het scherm 'Virus- en bedreigingsbeveiliging'. Daarin klik je op 'Instellingen voor virus- en bedreigingsbeveiliging'. Vervolgens scroll je naar beneden tot het onderdeel 'Controlled folder access'. Een snellere manier kennen we niet. Nadat je de knop op 'Aan' hebt gezet, verhindert Windows dat ongeautoriseerde progamma's in de standaard beschermde mappen kunnen schrijven. De configuratieopties die je als gebruiker hebt, zijn beperkt.
Beperkte mogelijkheden
Open onder de aan/uit-schakelaar de optie 'Beschermde mappen'. Je persoonlijke documenten en de openbare (public) mappen behoren standaard tot de te beschermen objecten en worden apart genoemd. Je kunt ze wel aanklikken en ze reageren daar ook op, maar je kunt ze niet verwijderen of er iets anders mee doen. Via het plusje bovenaan de lijst kun je extra mappen toevoegen. Probeert een app die daar geen toestemming voor heeft schrijftoegang te krijgen, dan verschijnt er een melding en wordt de poging in het eventlog vastgelegd.
Met het pijltje helemaal linksboven ga je een scherm terug en kun je via 'Een app toestaan via Controlled Folder Access' programma's toevoegen. "Apps die door Microsoft als onschadelijk worden aangemerkt, zijn altijd toegestaan". Verder wordt dat niet gespecificeerd. Het gaat blijkbaar om door Microsoft gesigneerde systeembestanden. Alle andere programma's worden door Defender Antivirus op hun betrouwbaarheid beoordeeld. Als je een programma aan de lijst van "toegestane apps" toevoegt, mag het meteen alle beschermde mappen veranderen. Het is niet mogelijk om bepaalde mappen voor bepaalde programma's vrij te geven.
Commandline-shortcut
Als je genoeg hebt van het vele klikken en scrollen, kun je ook een kortere weg bewandelen. Microsoft richt zich met de beschermde mappen niet alleen op thuisgebruikers, maar maakt het ook mogelijk ze via PowerShell of groepsbeleid (group policy) aan te sturen. Met het commando
Add-MpPreference -ControlledFolder AccessAllowedApplications
"pad naar programma"
kun je een programma vrijgeven. Met
Add-MpPreference -ControlledFolder
AccessProtectedFolders "andere map"
kun je een map aan de lijst met beschermde mappen toevoegen. NB: dubbele aanhalingstekens moet blijven staan. Systeembeheerders kunnen het groepsbeleid vinden in de 'Administrative templates', submap 'Windows components \ Windows Defender Antivirus \ Windows Defender Exploit Guard'.
Nuttig beveiligingsconcept
Afgezien van de omslachtige app-interface die niet uitnodigt tot configureren, is het concept van beschermde mappen een interessante nieuwe feature voor Windowssystemen. De bedieningsmogelijkheden via de Opdrachtprompt en PowerShell maken het gebruik voor systeembeheer interessant. Deze bescherming ontslaat je evenwel niet van de verplichting om regelmatig updates te installeren en back-ups te maken. (jmu)