I forrige innlegg så vi på regler for reduksjon av angrepsoverflaten. Det er et sett med kontroller som virksomheter kan aktivere for å hindre skadelig programvare i å få fotfeste på Windows-enheter. De blokkerer Office-, skript- og e-postbaserte trusler eller sperrer tilgang til legitimasjonsopplysninger som er lagret lokalt. Vi satte opp reglene med Intune og brukte Defender for Endpoint for å overvåke dem. Her ser vi nærmere på andre forebyggende tiltak. Hello for Business sørger for biometrisk pålogging og beskytter mot identitetsangrep. SmartScreen bidrar til å skjerme mot ondsinnede nettsteder og nedlastinger.
Brukerkontokontroll hindrer prosesser og programmer i brukermodus i automatisk å heve privilegier uten samtykke. Application Guard kjører Microsoft Edge i en isolert virtualisert maskin ved behov. Application Control begrenser hvilke applikasjoner en bruker har lov til å kjøre. Exploit Guard består av forskjellige komponenter som forebygger inntrengingsforsøk. Credential Guard benytter seg av virtualisering for å beskytte påloggingsopplysninger. BitLocker-stasjonskryptering sikrer data på harddisken når enheten går tapt, blir stjålet eller fjernet. Sammen bidrar disse funksjonene i høy grad til å redusere angrepsflaten. Enkelte skjermbilder er fra siste beta av Windows 11.
Windows Hello for Business
Hello for Business gir pålogging uten passord, som erstattes med sterk tofaktor-autentisering. Den ene faktoren er enheten, den andre biometriske kjennetegn, med støtte for å avlese fingeravtrykk og gjenkjenne ansikter. Avhengig av lysforhold og fukt på fingeren kan sensorene svikte. Da faller du tilbake på en PIN-kode som du må sette opp først. Med Windows Hello har du ingenting å miste (som et smartkort) og ingenting å glemme (som et langt passord). Data som identifiserer deg, blir liggende lokalt på Windows 10-enheten og er knyttet til den. Informasjonen sendes aldri over nettverket. Det gjør en PIN tryggere enn passord. En hacker trenger to ting for å bryte seg inn: din enhet og ditt hallo.
Windows Hello krever spesialisert maskinvare som fingeravtrykksleser, belyst infrarødt kamera med 3D-egenskaper eller andre biometriske sensorer, avhengig av godkjenningen som er aktivert. Det holder ikke at du presenterer et fotografi av deg selv. Moderne bærbare i øvre prissjikt kommer med innebygd støtte. Du kan ettermontere kameraet, som for eksempel et Intel RealSense 3D. En rimeligere løsning er å koble til en ekstern fingeravtrykksavleser, men du bør kontrollere at den er kompatibel. Hello for Business lar deg autentisere mot Azure Active Directory (AD), lokalt Windows AD (Windows Server 2016/2019), Microsoft Store og nettjenester. Sikkerhetsbrudd kan koste et hav av penger. Maskinvare med Windows Hello er i denne sammenheng en rimelig investering.
Microsoft Defender SmartScreen
Microsoft Defender SmartScreen bidrar til å beskytte mot ondsinnede nettsteder og applikasjoner og kan forhindre nedlasting av mulig ondsinnede filer. EICAR (European Institute for Computer Antivirus Research) gir anledning til å teste beskyttelsen (https://secure.eicar.org/eicar.com.txt).
Du kan aktivere Defender SmartScreen for Microsoft Edge i Innstillinger, Personvern, søk og tjenester. Bla deg ned til Sikkerhet.
Men en bedre løsning er å konfigurere dette sentralt ved hjelp av sikkerhetsgrunnlinjen for Microsoft Edge i Intune, som er del av Microsoft Endpoint Manager. Grunnlinjene er basert på beste praksis fra Microsoft og holdes oppdatert. Under Manage finner du blant annet opsjoner for å konfigurere antivirus, diskkryptering og brannmur for Windows og macOS. Attack surface reduction lar deg sette opp reglene for reduksjon av angrepsoverflaten.
Brukerkontokontroll
Brukerkontokontroll er ofte hatet av brukere og administratorer, men er fortsatt en av de mest grunnleggende sikkerhetskomponentene i Windows. Det forhindrer prosesser eller programmer som kjøres i brukermodus, fra automatisk å heve privilegier uten først å innhente samtykke. Et unntak fra regelen er ved foreldre-barn-forhold mellom prosesser der tillatelser nedarves. Vi klikker vanligvis på Ja uten å tenke oss om. Ondsinnede aktører kan utnytte kjente metoder for å omgå beskyttelsen. Til tross for dette er det mange trusler som stoppes av kontrollen. Derfor er det ingen grunn til å deaktivere den.
Microsoft Defender Application Guard
Defender Application Guard tilbyr en sikker beholder for Internett-surfing. Du kan aktivere den i Kontrollpanel ved å velge Windows-funksjoner i Programmer og funksjoner (som krever en omstart). I bakgrunnen benytter Application Guard seg av Hyper-V, så du kjører Edge i en egen virtuell minimaskin. Det gjør at skadelig kode på nettsteder ikke har tilgang til det underliggende operativsystemet. Du kan slå på funksjonen manuelt ved å klikke på ikonet øverst til høyre. Du kan også sette opp Application Guard i administrert modus via Intune. Du definerer hvilke nettsteder du stoler på, hva som er skyressurser og interne nettverk. Alt som ikke er på listen, anses som upålitelig og får Edge til å kjøre i en isolert container, som er anonym og hindrer identitetslekkasje.
Microsoft Defender Application Control
Tradisjonelt svartelister vi ondartet programkode med virussignaturer for å hindre den i å kjøre. Dette er en evighetsbeskjeftigelse. Vi får heller ikke tak i nye definisjoner raskt nok. En bedre metode må være å hviteliste, eksplisitt å angi hvilke applikasjoner som er tillatt. Application Control sørger nettopp for det, låser Windows til bare å kjøre godtatte programmer. All annen kode avvises. Dette gir en effektiv beskyttelse mot skadevare. Det er enkelt å konfigurere Application Control via Intune for Microsoft Store-apper og programvare som har et godt omdømme, som definert av Intelligent Security Graph. Sikkerhetskravene for dem godkjennes automatisk.
Men straks du beveger deg utenfor denne rammen, blir det tungvint å sette opp og vedlikeholde. Du må inn med PowerShell, klarere apper med et signeringssertifikat og benytte deg av en kryptisk OMA-URI-syntaks i konfigurasjonsprofiler. Du bør først kjøre Application Control i overvåkingsmodus. Etter nøye testing kan du endre modusen til håndhev. Da vil du automatisk også få PowerShell i Constrained Language Mode, som er utformet for å støtte daglige administrative oppgaver, men samtidig begrenser tilgangen til sensitive språkelementer som kan brukes til å kalle vilkårlige Windows APIer. Som administrator kan du oppleve denne modusen som for begrenset.
Microsoft Defender Exploit Guard
Defender Exploit Guard er satt sammen av forskjellige komponenter som beskytter enheter mot en rekke angrepsvektorer. De fire kjernekomponentene er:
Regler for reduksjon av angrepsoverflaten er omhandlet i del I av denne bloggen.
- Nettverksbeskyttelse sikrer endepunkter mot nettbaserte trusler ved å blokkere enhver utgående prosess til ikke-klarerte verter eller IP-adresser ved å benytte SmartScreen-funksjonene i Windows.
- Kontrollert mappetilgang beskytter følsomme data mot løsepengevirus ved å hindre upålitelige prosesser i å få tilgang til de beskyttede mappene. Godkjente apper konfigureres til å få adgang til beskyttede mapper.
- Utnyttelsesbeskyttelse er et sett med teknologier som beskytter kjernen og interne prosesser i Windows. Her er standardinnstillingene gode. Du kan eventuelt endre dem i Windows Sikkerhet og eksportere innstillingene om du ønsker å rulle dem ut via Intune.
Microsoft Defender Credential Guard
I likhet med Application Guard bruker Defender Credential Guard virtualiseringsbasert sikkerhet. Den beskytter mot inntrengere som er ute etter påloggingsinformasjon for privilegerte brukere med administrative rettigheter. Denne type angrep er utbredt og går under betegnelsene Pass-the-hash og Pass-the-ticket. I Windows lagres alle pålogginger siden siste oppstart i minnet. Det gir forenklet engangspålogging og er uhyre praktisk for deg som bruker.
Men det finnes også hacker-verktøy som kan nyttiggjøre seg disse opplysningene. Om for eksempel en domene-administrator har logget på maskinen, kan en angriper benytte seg av denne kontoen, opprette bakdører og kompromittere hele organisasjonen din. Den beskytter i tillegg opplysningene som er lagret i Legitimasjonsbehandling, både nett- og Windows-legitimasjoner. Credential Guard utfyller ASR-regelen som begrenser tilgangen til Local Security Authority (LSA).
Med Credential Guard splittes LSA i to. Det opprettes en isolerte autoritet som lagrer opplysningene i en egen minimalistisk virtuell maskin som hackere ikke får tilgang til. Konsekvensen er at din Windows-instans også blir virtualisert oppå Hyper-V. Kommunikasjonen dem imellom foregår via begrensede og formaliserte fjerne prosedyrekall. Credential Guard sikrer ikke lokale brukere og Microsoft-kontoer. Du kan aktivere funksjonen med konfigurasjonsprofiler i Intune, gruppepolicyer i Windows eller PowerShell.
BitLocker-stasjonskryptering
Til tross for at Innstillinger i Windows 11 har fått et merkbart estisk og funksjonelt ansiktsløft, er det gamle kontrollpanelet ikke forsvunnet ennå. Men det er heller ikke herfra du skal aktiverte BitLocker. Det gjør du via Intune som lagrer gjenopprettingsnøklene der. Intune støtter nøkkelrotasjon, noe som gjør at du kan fjerne en eksisterende krypteringsnøkkel og erstatte den med en ny om den gamle blir kompromittert.
Avsluttende ord
Sikkerhet er en pågående prosess. Med Defender for Endpoint kan du integrere den i Microsoft Sikkerhetsvurdering og få råd om hvordan du bør gå frem for å beskytte enhetene dine. Her var det en gang 97,67 %, men har sunket til 85,91 %. Det skyldes flere forhold. Gamle maskiner er fjernet og andre lagt til. Microsoft har kommet med nye anbefalinger, særlig for Mac. Og enkelte steder kan det være et poeng å jenke på kravene. IT-sikkerhet skal ikke hindre brukere i å gjøre jobben, men gjøre dem i stand til å jobbe på en sikker måte.