Grunnleggende tiltak for beskyttelse mot løsepengevirus i Windows 10

Kjetil Nordlund

Kjetil Nordlund

Security Technical Specialist

Lesetid, 4 min.

Vi har den siste tiden sett flere vellykkede angrep med løsepengevirus mot norske foretak og kommuner.

Angrepene utnytter kjente teknikker som det finnes beskyttelsesmekanismer mot innebygd i Windows 10, eller som kunne vært forhindret ved bruk av MFA.

Benytter du eldre operativsystemer vil det viktigste tiltaket være å oppgradere disse til nyeste versjon.

Pass så på at innebygde sikkerhetsmekanismene er skrudd på.

 

  1. Skru på “Attack Surface Reduction (ASR)” regler på Windows 10 klientene.

Attack Surface Reduction (ASR) regler er innebygde sikkerhetsmekanismer i Windows 10 for å blokkere kjente angrepstekniker.

Dette er mekanismer som er lagd for å detektere og blokkere spesielle aktiviteter som ofte er forbundet med ondsinnede handlinger.

Med tanke på løsepengevirus bør denne regelen som minimum skrus på:

  • “Block credential stealing from the Windows local security authority subsystem (lsass.exe)”

Denne låser ned lsass.exe prosessen for å hindre verktøy som mimikatz.exe fra å stjele «credentials» for videre bruk for «lateral movements»

Det finnes mange Attack Surface Reduction regler og flere kan gjerne vurderes, for eksempel:

  • “Block Win32 API Calls from Office macro”, “Block all Office applications from creating child processes”, “Block Office applications from injecting code into other processes”, + lignende
    Disse vil hindre at skjulte macroer I officedokumenter eller office applikasjonene selv får starte en annen kjørbar prosess.

Se hele lista over ASR regler her: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs

Mer info om ASR: Use attack surface reduction rules to prevent malware infection – Windows security | Microsoft Docs

 

Sjekk hvilke ASR regler som er aktive på din klient med Powershell:

get-mppreference | fl AttackSurfaceReductionRules_Ids

Forventet resultat for “Block credential stealing….”:
AttackSurfaceReductionRules_Ids : {9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2}

(AttackSurfaceReductionRules_Ids vil vise flered ID’er om flere ASR er aktivert)

 

*Det anbefales å teste «Attack surface reglene» før de settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan ekskluderes

 

  1. Sørg for at «Block at first sight» i Windows Defender Antivirus ikke er skrudd av.

«Block at first sight» er en innebygd sikkerhetsmekanisme i Windows 10 og gir en måte å oppdage og blokkere ny skadelig programvare på («Zero-days»).

Når Defender Antivirus treffer en ny ukjent kjørbar fil, blir denne analysert og vurdert før den blir kjørt. Virker den mistenkelig blir filen blokkert.

Mer info: Enable block at first sight to detect malware in seconds – Windows security | Microsoft Docs

Sjekk at “block at first sight» IKKE er skrudd av på din klient med powershell:

PS C:\ > get-mppreference | fl DisableBlockAtFirstSeen

Forventet resultat: DisableBlockAtFirstSeen : False

 

  1. Skru på Network Protection (Smartscreen for Windows 10) Anti Phishing

Network Protection hjelper til med å redusere angrepsflaten til Windows 10. Tjenesten hindrer brukere i å aksessere uønskede domener som benyttes i Phishing, Exploits, og annet uønsket innhold

Der hvor Smartscreen er en tjeneste som blokkerer uønskede websider og er integrert i en nettleser som Microsoft EDGE eller som en utvidelse i Chrome, er Network Protection en del av Windows 10 og blokkerer på OS nivå. Network Protection blokkerer Windows 10 i å koble seg til det vi kaller for «Low Reputation sites» basert på http(s) trafikk.

Mer info: Use network protection to help prevent connections to bad sites – Windows security | Microsoft Docs

Sjekk at Network protection er aktivert på din klient med powershell:

PS C:\ > get-mppreference | fl EnableNetworkProtection

Forventet resultat:  EnableNetworkProtection : 1

 

  1. Skru på «Controlled folder access» for å beskytte verdifulle kataloger

«Controlled folder access» beskytter spesielt verdifulle kataloger på windows 10 klienten ved å kun tillate at godkjente applikasjoner får skrive til disse katalogene.

Katalogene som beskyttes er for eksempel katalogen «Dokumenter» i brukerens profil der alle dokumenter som standard blir lagret. Disse beskyttes for endringer fra ukjente applikasjoner, f.eks løsepengevirus.

Mer info: Protect important folders from ransomware from encrypting your files with controlled folder access – Windows security | Microsoft Docs

Sjekk at «controlled folder access» er aktivert på din klient med powershell:

PS c:\ > get-mppreference | fl EnableControlledFolderAccess

Forventet resultat: EnableControlledFolderAccess : 1

 

*Det anbefales å teste «Controlled folder access» før den settes i produksjon slik at 3.part eller egenutviklede applikasjoner som blir blokkert kan hvitelistes

 

 

Og til slutt et generelt tiltak som ikke kan gjentas for ofte:

  1. Beskytt alle åpne tjenester tilgjengelig fra internett med Multifaktorautentisering.

Dette gjelder terminalserverpålogginger som RDP, Citrix og vmware, men også andre applikasjoner og tjenester må beskyttes med MFA. Med åpne tjenester vil en angriper kunne utføre enkle passord angrep, eller utnytte passord som tidligere er lekket fra andre tjenester. Kun sikring med passord er ikke tilstrekkelig.

Skru av og unngå bruk av utdaterte autentiseringsmekanismer som «basic auth».

Etter epost er åpne tilganger til terminalservere den nest mest utnyttede metoden for å få ondsinnet tilgang.

 

Se våre offisielle Ransomware-tiltak her.

Kostnadsfritt webinar: Cybersikkerhetstrender i Europa

Finn ut mer om cybersikkerhetstrender i Europa og løsninger for å beskytte deg mot dem

Oppdag flere relaterte artikler per bransje:

Detaljhandel

  • HeadBrands er klar for fremtiden med Microsoft 365 Business

    HeadBrands er klar for fremtiden med Microsoft 365 Business

    Siden etableringen i 2010 har HeadBrands opplevd rask vekst og er nå Skandinavias ledende forhandler av frisørprodukter. HeadBrands trengte en moderne IT-løsning for å øke produktiviteten og forbedre samarbeidet, både internt og eksternt. Svaret på utfordringen var å bytte ut de fleste tidligere tjenester med Microsoft 365 Business: en helt ny løsning som kombinerer det […]

  • GDPR og detaljhandel: Fire GDPR-krav og hvordan Microsoft kan hjelpe

    GDPR og detaljhandel: Fire GDPR-krav og hvordan Microsoft kan hjelpe

    Finn ut hvordan vi kan hjelpe deg å oppfylle GDPR-kravene med dagens tilgjengelige løsninger: Vurder din gjeldende risikoprofil «Hvordan finner jeg ut hvilke forskrifter jeg allerede overholder, og hva jeg må fokusere på videre?» Dette er et av de vanligste spørsmålene om GDPR fra retail. Det er også et av de vanskeligste spørsmålene å svare på, […]

Finans og forsikring

  • Norwegian Fintech Cloud Community

    Norwegian Fintech Cloud Community

    On March 21st, we held the first ever Norwegian Fintech Cloud Community in our offices in Oslo! Thank you to both technical/developer leads and business leaders for joining us for this day of inspirational talks by other financial organisations and cloud experts from Microsoft, as they shared best practices in building solutions in the cloud. […]

Helseomsorg

  • en person som sitter foran en bærbar datamaskin

    «Big Bang»-tilnærmingen til digital transformasjon – og hvordan man får den til å fungere

    Ingenting er som før for næringsdrivende. Endring og omveltning er den nye normalen. Bare tenk på endringene som påvirker din egen organisasjon akkurat nå: Ny teknologi og nye teknikker skaper nye holdninger og forventninger både blant ansatte og kunder. Alt forandrer seg. Det eneste alle endringene har til felles, er hastigheten de skjer i. De […]

  • Datadrevet helse-Norge

    Datadrevet helse-Norge

    Fredag 22. januar, hadde vi en direktesendt event om bruken av Power BI i helseregionene- og foretakene, og hvordan din organisasjon kan dele innsikt på en sikker måte på tvers av applikasjoner og samhandlingsverktøy.   Denne bloggposten inkluderer presentasjonene fra foredragsholderne og spørsmålene fra eventet. Foredragsholderne og presentasjoner:   Helseregionene: «PowerBI i Helse Sør-Øst» av Lars Rønning – Analysesjef i Helse Sør-Øst «Datadrevet helse-Norge – bruk av […]

Industri

  • Azure Skills2

    Knowledge Mining – Uncover Latent Insights within Your Organization

    Thank you for joining us at Knowledge Mining – Uncover Latent Insights within Your Organization! The video is available on demand, and you can watch it at any time here    If you would like to reach one of our speakers:  Izabela Hawrylko, Data & AI Specialist at Microsoft  https://www.linkedin.com/in/izabelahawrylko/   Izabela.Hawrylko@microsoft.com   Ignacio Floristan, Global Black Belt AI Specialist […]

  • Fleksible måter å jobbe på er kommet for å bli

    Fleksible måter å jobbe på er kommet for å bli

    En ny europeisk rapport viser at om ledere er fokuserte på å bevare kultur og innovasjon vil fleksible måter å jobbe på bli den nye normalen. Over halvparten av norske ledere (53,5 prosent) svarte at det er viktig å endre bedriftens arbeidsmåter for å bli nettopp mer innovative og fleksible. Forskningen er gjennomført av Microsoft sammen med […]

Offentlig sektor

  • Ineco

    Ineco forbedrer produktiviteten hos de ansatte med moderne verktøy og kunstig intelligens

    Å streve med programvare bidrar ikke til at folk får gjort mer. Det samme gjelder for fildeling og samarbeid om dokumenter. Hvis dette er vanskelig, går det ut over produktiviteten. Ineco, et spansk selskap innen offentlig sektor, har innsett dette. De gikk inn for å endre måten de ansatte samhandler med teknologi og hverandre på. […]

  • Innovasjon i kommune-Norge ved hjelp av PowerApps

    Innovasjon i kommune-Norge ved hjelp av PowerApps

    Har du opplevd situasjoner hvor en oppgave må gjøres, men hvor dere har manglet et system som muliggjør dette på en enkel, oversiktlig og rask måte? Microsoft sin løsning PowerApps kan løse nettopp dette problemet. Før var den eneste måten å erstatte tunge manuelle prosesser og fagsystemer å gå til store offentlige anskaffelser eller lange […]

Utdanning

Oppdag flere relaterte artikler per dossier:

Digital Transformation

Kundehistorier

  • Fitness24Seven

    Fitness24Seven: viser muskler med intelligent kommunikasjon

    Fitness24Seven er et av Europas raskest voksende fitness-merkevarer. Men selskapet oppdaget at de måtte styrke kontakten mellom spredte team og forbedre informasjonsdelingen. Som Stefan Hult, seniorrådgiver hos Stratiteq, forteller: "Hver avdeling var i sin egen lille verden. Det manglet en overordnet kontaktløsning som bandt de ulike avdelingene sammen." Løsningen: Enkelhet og fleksibilitet har vært to […]

Presse

  • Microsoft Norges respons til COVID-19

    Microsoft Norges respons til COVID-19

    Sist oppdatert: 16. mars 2020 Microsoft har en global tilnærming til beredskapsplaner og planlegging av krisehåndtering, som inkluderer både forutsette og uforutsette hendelser. Tilnærmingen inkluderer en handlingsplan ved pandemier. Våre handlingsplaner aktiveres over hele verden, og i tillegg til bistandsmidler til Kina og Puget Sound Community, har vi forpliktet oss til å levere produkter, tjenester […]

Sikkerhet og personvern

  • e-bok: Hvordan unngå sikkerhetsmareritt, slik at bedriften kan lykkes

    e-bok: Hvordan unngå sikkerhetsmareritt, slik at bedriften kan lykkes

    Holder sikkerhetsmareritt deg våken om natten? Sikring av dataene innebærer at du og de ansatte kan få ro i sjelen, tenke stort og oppnå mer. Rapporter viser at små og mellomstore bedrifter er særlig utsatt for databrudd og andre sikkerhetshendelser. Faktisk er 43 % av alle nettangrep rettet mot SMB-er. Hvorfor? Fordi mange av dem er […]

Tips

  • Library
    Les mer om Teams i skolen Samarbeid Lesetid, 1 min.

    Teams i skolen

    Teams har tatt skolenorge med storm, og flere tusen lærere og elever har integrert Teams som en del av sin skolehverdag. Teams samler alle samtalene dine, møter, filer og apper på ett sted – i ditt Team, og du har rask tilgang og enkel oversikt. Som lærer kan du bruke Teams til å tilrettelegge innhold […]