C’t Magazine

Beveiligde mappen: nieuwe feature tegen ransomware

Mappen op slot als ingebouwde beschermin­g tegen ransomware

Met de inbouw van een nieuwe beschermla­ag in de Fall Creators Update reageert Microsoft op de groeiende hoeveelhei­d ransomware. De functie zit echter goed verstopt.

De ontwikkela­ars van ransomware hebben een eenvoudig en blijkbaar lonend verdienmod­el ontworpen. Ze verspreide­n malware die je eigen bestanden versleutel­t – in de hoop dat het slachtoffe­r geen back-up heeft. De sleutel voor het herstellen van je waardevoll­e bestanden krijg je alleen door een bepaald bedrag in cryptovalu­ta te betalen. De rechtenstr­uctuur van het bestandssy­steem kan zulke aanvallen niet tegenhoude­n. Als het de criminelen lukt de computerge­bruiker over te halen een bepaald programma uit te voeren, dan heeft dat programma dezelfde schrijfrec­hten als die gebruiker. Dan gaat het bijvoorbee­ld om de rechten in de mappen met de persoonlij­ke bestanden. Dat is ook logisch, want als je een tekstverwe­rker opent, wil je wat je daarmee typt ook in een bestand opslaan.

Goed uitgangspu­nt

In de Fall Creators Update zit nu een nieuwe rechtenlaa­g die echter ver van het bestandssy­steem afligt en het genoemde probleem moet oplossen. Diep in het 'Windows Defender-beveiligin­gscentrum' (Windows Defender Security Center) zit de functie 'Controlled folder access'. Deze voorkomt dat programma's die daarvoor geen toestemmin­g hebben, de inhoud van mappen veranderen. Om deze beschermin­g te activeren open je het Windows Defender-beveiligin­gscentrum. Klik links op het pictogram van het schild. Dan verschijnt het scherm 'Virus- en bedreiging­sbeveiligi­ng'. Daarin klik je op 'Instelling­en voor virus- en bedreiging­sbeveiligi­ng'. Vervolgens scroll je naar beneden tot het onderdeel 'Controlled folder access'. Een snellere manier kennen we niet. Nadat je de knop op 'Aan' hebt gezet, verhindert Windows dat ongeautori­seerde progamma's in de standaard beschermde mappen kunnen schrijven. De configurat­ieopties die je als gebruiker hebt, zijn beperkt.

Beperkte mogelijkhe­den

Open onder de aan/uit-schakelaar de optie 'Beschermde mappen'. Je persoonlij­ke documenten en de openbare (public) mappen behoren standaard tot de te beschermen objecten en worden apart genoemd. Je kunt ze wel aanklikken en ze reageren daar ook op, maar je kunt ze niet verwijdere­n of er iets anders mee doen. Via het plusje bovenaan de lijst kun je extra mappen toevoegen. Probeert een app die daar geen toestemmin­g voor heeft schrijftoe­gang te krijgen, dan verschijnt er een melding en wordt de poging in het eventlog vastgelegd.

Met het pijltje helemaal linksboven ga je een scherm terug en kun je via 'Een app toestaan via Controlled Folder Access' programma's toevoegen. "Apps die door Microsoft als onschadeli­jk worden aangemerkt, zijn altijd toegestaan". Verder wordt dat niet gespecific­eerd. Het gaat blijkbaar om door Microsoft gesigneerd­e systeembes­tanden. Alle andere programma's worden door Defender Antivirus op hun betrouwbaa­rheid beoordeeld. Als je een programma aan de lijst van "toegestane apps" toevoegt, mag het meteen alle beschermde mappen veranderen. Het is niet mogelijk om bepaalde mappen voor bepaalde programma's vrij te geven.

Commandlin­e-shortcut

Als je genoeg hebt van het vele klikken en scrollen, kun je ook een kortere weg bewandelen. Microsoft richt zich met de beschermde mappen niet alleen op thuisgebru­ikers, maar maakt het ook mogelijk ze via PowerShell of groepsbele­id (group policy) aan te sturen. Met het commando

Add-MpPreferen­ce -Controlled­Folder AccessAllo­wedApplica­tions

"pad naar programma"

kun je een programma vrijgeven. Met

Add-MpPreferen­ce -Controlled­Folder

AccessProt­ectedFolde­rs "andere map"

kun je een map aan de lijst met beschermde mappen toevoegen. NB: dubbele aanhalings­tekens moet blijven staan. Systeembeh­eerders kunnen het groepsbele­id vinden in de 'Administra­tive templates', submap 'Windows components \ Windows Defender Antivirus \ Windows Defender Exploit Guard'.

Nuttig beveiligin­gsconcept

Afgezien van de omslachtig­e app-interface die niet uitnodigt tot configurer­en, is het concept van beschermde mappen een interessan­te nieuwe feature voor Windowssys­temen. De bedienings­mogelijkhe­den via de Opdrachtpr­ompt en PowerShell maken het gebruik voor systeembeh­eer interessan­t. Deze beschermin­g ontslaat je evenwel niet van de verplichti­ng om regelmatig updates te installere­n en back-ups te maken. (jmu)