Skip to main content

Defender ger kraftfullare skydd mot Ransomware

Windows 10 Fall Creative Update är på ingång och Microsoft släpper helt fantastiska nyheter rörande säkerhet.

Microsofts antivirus Windows Defender tar stora kliv fram som den ledande produkten att skydda våra klienter mot skadlig kod och attacker.Bland annat kommer Windows Defender dra nytta av all big data som finns i Microsofts Intelligent Security Graph och som vi tidigare nyttjat med Windows Defender Advanced Threat Protection.

En ny funktion i Windows Defender som skyddar vår känsligaste data mot Ransomware är Controlled Folder Access. En kraftfull funktion där utpekade mappar som exempelvis standardmappar för dokument och bilder eller mappar du själv pekar ut skyddas.Skyddet baseras på att enbart legitima applikationer får tillgång och kan göra förändringar i dessa mappar. Baserat på reputation (rykte) från Intelligent Security Graph ges eller blockeras applikationers tillgång till dessa mappar. Det här gör att det är enkelt att underhålla verktyget utan att tappa funktionalitet. Skulle maskinen bli infekterad och ett ransomware börjar kryptera data kommer de utpekade mapparna vara skyddade och all viktig data vara oförändrad.

image

Vid behov kan även applikationer som behöver tillgång till dessa mappar läggas till centralt för en managerad klient och lokalt av en icke managerad klient.

image

Controlled Folder Access skyddar vår känsligaste data när vi väl blir infekterade av ett ransomware. Vi har även en hel del nya skydd i Defender som förhindrar själva infektionen. En ny funktion kallad Exploit Guard har inkluderats i Windows Defender och har bland annat mycket funktionalitet från tidigare EMET (Enhanced Mitigation Experience Toolkit). Faktum är att om en klient har EMET installerat när Windows framöver uppgraderas till Fall Creators update kommer EMET inaktiveras eller avinstalleras eftersom det ersätts av Defender Exploit Guard. Mer information om detta finns att läsa här: https://docs.microsoft.com/en-us/windows/threat-protection/overview-of-threat-mitigations-in-windows-10#understanding-windows-10-in-relation-to-the-enhanced-mitigation-experience-toolkit

Med hjälp av Exploit Guard kan vi skydda system och applikationer att utföra åtgärder som skadlig kod ofta använder för att infektera ett system. En stor del av alla ransomware kommer ofta via skadliga makron i officedokument som i sin tur hämtar hem och startar upp underprocesser för att smitta klienten.

Exploit Guard kan bland annat konfigureras för att stoppa

Child processes Arbitrary code Low integrity images Untrusted fonts m.m.

Precis som tidigare EMET kan alla inställningar skapas i enbart audit mode för att initialt testa av de interna makron som används och dess krav för att sedan härda och låsa ner för att förhindra suspekta makron.

image

Det kommer även komma färdiga regler som gäller för just Office makron och script för att skydda från de vanligaste attackerna.

Vi har även en hel del nyheter i Windows Defender Advanced Threat Protection (ATP) som nu även får in data från Exploit Guard men som även kommer kunna blockera de attacker den tidigare bara informerat om.Windows Defender ATP kommer kunna dra nytta av alla säkerhetsfunktioner i Windows 10 för att stoppa en pågående attack. Allt ifrån att stoppa exekvering av en nedladdad fil med hjälp av SmartScreen, sätta skadliga filer i karantän med Defender, till att blockera vissa portar och applikationer med hjälp av Windows Defender Firewall för att minska båda spridning och informationsläckage.

image

Missa inte Microsoft TechDays på Kista mässan den 25-26:e oktober för mer information och nyheter.

Läs hela artikeln