Moderne Windows klientsikkerhet


Det er dessverre ikke noen magisk ferdig løsning som vil gjøre Windows PCer helt sikre i alle miljøer. Men vi har noen anbefalinger på hvor man må starte for å sikre sine PCer og data.


Det er dessverre ikke noen magisk ferdig løsning som vil gjøre Windows PCer helt sikre i alle miljøer. Men vi har noen anbefalinger på hvor man må starte for å sikre sine PCer og data.

Cybersecurity for dummies ga noen overordnede tips for it-sikkerhet. Og Dette er din bedrifts største sikkerhets risiko åpnet kanskje øynene dine for hvilken risiko phishing utgjør, og hvordan det ofte er windows klienten og brukeren som er det svakeste leddet i sikkerhetskjeden. Med noen få steg kan man øke sikkerheten betraktelig.

Ta bort administratorrettigheter

Å ta bort adminrettigheter har vært steg en de siste 30 årene for klientsikkerhet. Det er et sitat fra 1993 NT 3.1 sin userguide som MVP og sikkerhetsekspert Sami Laho ofte bruker (jeg har ikke klart å verifisere, men det er for bra til å ikke tro på) som sier: «In Windows there is no security if you are using admin rights» Med andre ord kan man litt flåsete, men ikke nødvendigvis feil, si at om brukeren du jobber med har adminrettigheter så er alle andre sikkerhetsløsninger på klienten meningsløse. I forskjellige rapporter fra blant annet BeyondTrust og Gartner de siste årene, estimeres det med  å fjerne 77% til 95% prosent av Microsoft sine sårbarheter ved dette tiltaket alene.

En bonus med å ta bort administratorrettigheter er at det blir vanskeligere for brukere å ødelegge noe. Noe som gir det færre helpdesk saker og mindre reinstallasjoner av pcer.

Sette opp en liste over kjørbar kode som får lov til å kjøre

Om det å ta bort adminrettigheter tar bort 80 % av sikkerhetsutfordringene, tar allowlisting med Applocker deg nærme 99 %. En regel som sier at bare applikasjoner og kode signert av en trusted certificate authority kan kjøre, stopper majoriteten av malware.  Applocker har et ufortjent rykte som vanskelig å sette opp. Det trenger det ikke å være, om man har tatt bort administratorrettighetene til brukeren. Ved å bruke hovedsakelig allow-regler, kan man klare seg med relativt få av disse. For eksempel om brukeren ikke har administrator rettigheter, så får vedkommende ikke lagt noe til i c:\program files (ikke at verden er så enkel, men det tar man på unntakene). Da kan man lage en regel som lar brukeren kjøre alle filer i c:\program files.

Powershell er en velsignelse for oss som administrerer, men også kanskje den største trusselen for malware. Hvis mulig så blokker PowerShell for begrensete brukere. Kan du ikke blokkere det, så stopp powershell i firewall fra å hente ting utenfor nettverket.

Kryptering - Bitlocker

Kryptering for å beskytte data er kjent. Det folk som oftest ser for seg, er at det er for å beskytte seg mot at noen får tak i harddisken, kobler den ut og setter den inn i en annen maskin. Men kryptering beskytter også mot en relativ enkel hack av passord til operativsystemet. Det er enda viktigere i dag hvor maskiner er utstyrt med Always on VPN.

Nå skal ikke jeg lære deg å hacke en Windows 10 maskin, men se for deg at du:

  1. Booter på en usb/cd med et fritt valgt OS.
  2. Finn c:\windows\system32\cmd.exe og rename den til cmd0.exe.
  3. Finn sethc.exe og rename den til cmd.exe.
  4. Start så pcen på nytt til Windows safe mode.
  5. Trykk shift-tasten 5 ganger fort. I stedet for sticky keys, så vil command prompt med system tilgang poppe opp.
  6. Du kan nå lage deg en ny administrator konto eller resette passordet på den eksisterende om du vil.

Nå som du har sett det for deg, så slipper du å gjøre det.

Dette er et bevis på at om noen har fysisk tilgang på pcen din, så er den ikke din lengre. Bitlocker gjør denne angrepsmåten umulig siden man ikke kan lese innholdet på harddisken utenfor Windows.

Endepunkt sikkerhets løsninger - Antivirus

Når jeg startet innen IT så hadde vi en antivirusløsning som hadde daglige signatur oppdateringer og det var ganske kult. For 10 år siden så implementerte jeg en løsning som sjekket for nye signaturer hver andre time. I dag estimeres det at det kommer 1 million nye malware hver dag. Min påstand er derfor at tradisjonelle signaturbaserte antivirus løsninger er døde.

Ved å ta bort adminrettighetene og sette opp en Allowliste så har jeg påstått at vi beskytter mot 99% av malware. Så trenger man da antivirus? Jeg har også slengt ut tallet 1 million nye malware hver dag. Så om man beskytter mot 99% av de så er det fortsatt titusen nye malware som kan snike seg inn hver dag. Den innebygde Windows defender er som oftest god nok for de fleste brukere, men den mangler en del på rapportering og incident repons.

Jeg vil derfor anbefale at man bruker pengene sine på den nye generasjonen av antivirus, eller Endpoint detection and response (EDR) som de gjerne kalles. EDR Bruker avansert atferdsanalyse, maskinlæring og til og med noen former for kunstig intelligens for å identifisere trusler. De ser på avvik fra normal oppførsel på pc-en for å identifisere og blokkere malware. Hva som er normal oppførsel brukes maskinlæring til å identifisere. Når du evaluerer EDR løsning så er det viktig at det er mulig enkelt å drifte det. En løsning som kan kan konsolideres inn i konsoller og løsninger som dere allerede bruker er å foretrekke. Eksempler er om dere bruker Intune så er Microsoft sin ATP fullintegrert eller Palo Alto sin Cortex om dere har Palo Alto brannmurer.

Ikke la perfekt bli fienden av bra

Det viktigste innen IT-sikkerhet og klientsikkerhet er å ikke la perfekt bli fienden av bra. Det er et stort og vanskelig felt og man kan fort bli handlingslammet når man tenker på alle mulig måter man bli angrepet.

Selv om du ikke klarer å beskytte mot alle angrepsvektorer, så er det ikke dårlig å beskytte deg mot 95% av dem. Så kan man jobbe med de siste prosentene senere.

Om du vil snakke om klientsikkerhet eller vil ha hjelp med noe du har lest om i denne artikkelen så ta kontakt med oss.