Grunnleggende tiltak for beskyttelse mot løsepengevirus i Windows 10

Kjetil Nordlund

Kjetil Nordlund

Security Technical Specialist

Lesetid, 4 min.

Vi har den siste tiden sett flere vellykkede angrep med løsepengevirus mot norske foretak og kommuner.

Angrepene utnytter kjente teknikker som det finnes beskyttelsesmekanismer mot innebygd i Windows 10, eller som kunne vært forhindret ved bruk av MFA.

Benytter du eldre operativsystemer vil det viktigste tiltaket være å oppgradere disse til nyeste versjon.

Pass så på at innebygde sikkerhetsmekanismene er skrudd på.

 

  1. Skru på “Attack Surface Reduction (ASR)” regler på Windows 10 klientene.

Attack Surface Reduction (ASR) regler er innebygde sikkerhetsmekanismer i Windows 10 for å blokkere kjente angrepstekniker.

Dette er mekanismer som er lagd for å detektere og blokkere spesielle aktiviteter som ofte er forbundet med ondsinnede handlinger.

Med tanke på løsepengevirus bør denne regelen som minimum skrus på:

  • “Block credential stealing from the Windows local security authority subsystem (lsass.exe)”

Denne låser ned lsass.exe prosessen for å hindre verktøy som mimikatz.exe fra å stjele «credentials» for videre bruk for «lateral movements»

Det finnes mange Attack Surface Reduction regler og flere kan gjerne vurderes, for eksempel:

  • “Block Win32 API Calls from Office macro”, “Block all Office applications from creating child processes”, “Block Office applications from injecting code into other processes”, + lignende
    Disse vil hindre at skjulte macroer I officedokumenter eller office applikasjonene selv får starte en annen kjørbar prosess.

Se hele lista over ASR regler her: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs

Mer info om ASR: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs

 

Sjekk hvilke ASR regler som er aktive på din klient med Powershell:

get-mppreference | fl AttackSurfaceReductionRules_Ids

Forventet resultat for “Block credential stealing….”:
AttackSurfaceReductionRules_Ids : {9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2}

(AttackSurfaceReductionRules_Ids vil vise flered ID’er om flere ASR er aktivert)

 

*Det anbefales å teste «Attack surface reglene» før de settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan ekskluderes

 

  1. Sørg for at «Block at first sight» i Windows Defender Antivirus ikke er skrudd av.

«Block at first sight» er en innebygd sikkerhetsmekanisme i Windows 10 og gir en måte å oppdage og blokkere ny skadelig programvare på («Zero-days»).

Når Defender Antivirus treffer en ny ukjent kjørbar fil, blir denne analysert og vurdert før den blir kjørt. Virker den mistenkelig blir filen blokkert.

Mer info: Enable block at first sight to detect malware in seconds – Windows security | Microsoft Docs

Sjekk at “block at first sight» IKKE er skrudd av på din klient med powershell:

PS C:\ > get-mppreference | fl DisableBlockAtFirstSeen

Forventet resultat: DisableBlockAtFirstSeen : False

 

  1. Skru på Network Protection (Smartscreen for Windows 10) Anti Phishing

Network Protection hjelper til med å redusere angrepsflaten til Windows 10. Tjenesten hindrer brukere i å aksessere uønskede domener som benyttes i Phishing, Exploits, og annet uønsket innhold

Der hvor Smartscreen er en tjeneste som blokkerer uønskede websider og er integrert i en nettleser som Microsoft EDGE eller som en utvidelse i Chrome, er Network Protection en del av Windows 10 og blokkerer på OS nivå. Network Protection blokkerer Windows 10 i å koble seg til det vi kaller for «Low Reputation sites» basert på http(s) trafikk.

Mer info: Use network protection to help prevent connections to bad sites – Windows security | Microsoft Docs

Sjekk at Network protection er aktivert på din klient med powershell:

PS C:\ > get-mppreference | fl EnableNetworkProtection

Forventet resultat:  EnableNetworkProtection : 1

 

  1. Skru på «Controlled folder access» for å beskytte verdifulle kataloger

«Controlled folder access» beskytter spesielt verdifulle kataloger på windows 10 klienten ved å kun tillate at godkjente applikasjoner får skrive til disse katalogene.

Katalogene som beskyttes er for eksempel katalogen «Dokumenter» i brukerens profil der alle dokumenter som standard blir lagret. Disse beskyttes for endringer fra ukjente applikasjoner, f.eks løsepengevirus.

Mer info: Protect important folders from ransomware from encrypting your files with controlled folder access – Windows security | Microsoft Docs

Sjekk at «controlled folder access» er aktivert på din klient med powershell:

PS c:\ > get-mppreference | fl EnableControlledFolderAccess

Forventet resultat: EnableControlledFolderAccess : 1

 

*Det anbefales å teste «Controlled folder access» før den settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan hvitelistes

 

 

Og til slutt et generelt tiltak som ikke kan gjentas for ofte:

  1. Beskytt alle åpne tjenester tilgjengelig fra internett med Multifaktorautentisering.

Dette gjelder terminalserverpålogginger som RDP, Citrix og vmware, men også andre applikasjoner og tjenester må beskyttes med MFA. Med åpne tjenester vil en angriper kunne utføre enkle passord angrep, eller utnytte passord som tidligere er lekket fra andre tjenester. Kun sikring med passord er ikke tilstrekkelig.

Skru av og unngå bruk av utdaterte autentiseringsmekanismer som «basic auth».

Etter epost er åpne tilganger til terminalservere den nest mest utnyttede metoden for å få ondsinnet tilgang.

 

Se våre offisielle Ransomware-tiltak her.

Kostnadsfritt webinar: Cybersikkerhetstrender i Europa

Finn ut mer om cybersikkerhetstrender i Europa og løsninger for å beskytte deg mot dem

Oppdag flere relaterte artikler per bransje:

Detaljhandel

Helseomsorg

  • logo

    Derfor er tillit den viktigste ingrediensen i digital transformasjon innen helsesektoren.

    Telefonen min hadde nesten ringt ustanselig i ukevis, og nå ringte den igjen. «Veronica», sa stemmen i den andre enden, «vi har fått en idé!» Jeg hørte straks hvem det var. Jeg har kjent Carlo Tacchetti nesten like lenge som jeg har jobbet hos Microsoft. Han er professor ved universitetet Vita-Salute San Raffaele og direktør […]

  • Microsoft Cloud for Health – the need of the hour

    Microsoft Cloud for Health – the need of the hour

    The year that has just been, is the year that challenged human interaction to a great length. A chat over a cup of coffee, evening dine-out with families and friends, a warm hug or a reassuring handshake: the year 2020 challenged the goodness of an endearing touch. However, 2020 was also the year of human […]

Industri

  • utsikt over en by med høye bygninger

    Endring for kommersielle, lokale programvare og onlinetjenester i Norge 

    Microsoft Norge kunngjør prisendringer på kommersiell, lokal programvare og onlinetjenester for å bedre speile markedene mellom Norge og EU/EFTA-regionen. Endringene trer i kraft 1. mars, 2021.   Fra 1. mars 2021 vil NOK-prisen for kommersiell programvare og onlinetjenester øke med 9 prosent for å tilpasse seg gjeldende prisnivå i EU/EFTA. Microsoft vurderer, med jevne mellomrom, effekten av sin lokale prising for å sikre en […]

  • en gruppe mennesker i et rom

    Open Innovation Cruise

    Microsoft Norway’s startup team and Sopra Steria Scale up organized Open Innovation Cruise 2019 on October 15th to October 17th. Thank you Sopra Steria for a fantastic collaboration with organizing this event, and a huge thank you to all the 55 participants from 30 different startups and 6 enterprise organizations. We would also like to […]

Offentlig sektor

  • en gruppe mennesker som står ved siden av en hund

    Belgisk politistyrke gjennomfører en sikker «mobile-first»-transformasjon

    Det å dele informasjon er nå blitt mye enklere for offiserer og støttepersonell – takket være Microsoft Teams som kjøres på en kraftfull og sikker digital plattform.

  • Sikker datalagring på norsk jord

    Sikker datalagring på norsk jord

    Høsten 2019 åpner Microsoft to nye datasenterregioner i Norge. Datasentrene tilbyr skytjenester til offentlige og private aktører med behov for og krav til lagring av data på norsk jord. Informasjonssikkerhet er helt nødvendig for alle verdiskapende aktører i vårt moderne samfunn. Når stadig flere avgjørelser baseres på en voksende mengde tilgjengelig informasjon, må vi kunne […]

Utdanning

Oppdag flere relaterte artikler per dossier:

Digital Transformation

Kundehistorier

  • Etex

    Etex bruker moderne verktøy for å samle bedriften og styrke kundefokuset

    Når det gjelder konstruksjon, må alle komponentene settes sammen på riktig måte og i riktig rekkefølge for at produktet skal bli optimalt. Etex er et belgisk selskap som produserer byggeløsninger, og de har fokus på dette hver dag. De ønsket å finne en måte å forbedre produktiviteten og det interne samarbeidet på. Med over 15 000 […]

Presse

  • Microsoft Norges respons til COVID-19

    Microsoft Norges respons til COVID-19

    Sist oppdatert: 16. mars 2020 Microsoft har en global tilnærming til beredskapsplaner og planlegging av krisehåndtering, som inkluderer både forutsette og uforutsette hendelser. Tilnærmingen inkluderer en handlingsplan ved pandemier. Våre handlingsplaner aktiveres over hele verden, og i tillegg til bistandsmidler til Kina og Puget Sound Community, har vi forpliktet oss til å levere produkter, tjenester […]

Sikkerhet og personvern

  • To personer som sitter og står foran en datamaskin

    Slik nøytraliserer du trusselen fra skygge-IT

    Én av de største truslene mot bedriftssikkerhet kommer innenfra. Er du utstyrt til å håndtere trusselen fra skygge-IT? Microsofts omfattende rapport Arbeid på en ny måte viser at når endring blir den nye normen for bedrifter, finnes ikke bare sikkerhetsutfordringene på utsiden av organisasjonen, men også internt. Omfattende bruk av apper som ikke oppfyller kravene […]

Tips

  • en person som sitter ved et bord foran et vindu

    Utnytter du Microsoft Teams fullt ut når du jobber eksternt?

    Det er mange årsaker til og krav i forbindelse med fjernarbeid. Vi har laget Microsoft Teams for at du skal få fleksibiliteten til å oppfylle disse kravene. Vi hjelper deg med å holde kontakten med teamene dine slik at samarbeidet kan fortsette effektivt, uansett hvor du er. Her er et par tips som hjelper deg […]