Als je het uitvoeren van exe bestanden in de temp map van windows blokkeert (en dan gelijk ook blokkeert in de temp map van de ingelogde gebruiker anders heeft het nog geen nut) kan het installeren van volkomen legitieme programma's ook wel eens lastig worden... De remedie is denk ik dan erger dan de (kleine kans) op de kwaal. Regelmatig een backup maken van je systeem en die backup samen met belangrijke databestanden los van het systeem opslaan lijkt me veel handiger.

Log in als standaard-gebruiker, dan waarschuwt Windows je als er exe's worden uitgevoerd. Je moet daar dan expliciet toestemming voor geven. Als je dan een beetje oplet, ben je heel behoorlijk beschermd. En ruim regelmatig je zooi op. Dat helpt ook.

Ligt er helemaal aan. Het artikel verwijst naar diverse recente besmettingen in ziekenhuizen. In dat soort bedrijven zou het personeel helemaal geen software mogen kunnen installeren. Als bedrijf wil je niet het risico lopen dat personeel autheursrechtelijk beschermde software op eigen houtje installeert. Die kans is groter dan malware besmetting. Laat het installeren van legitieme software dan maar over aan de personen die er binnen een bedrijf over gaan.

volkomen onzin.

in de tmp/temp directory horen geen uitvoerbare bestanden te draaien. Hoewel een open deur, is het een goed advies.
Mocht er wel een programma geinstalleerd moeten worden dan hoort dit gedaan te worden door een vakkundige IT afdeling die geen programma's installeert in de genoemde directories.

Personeel mag dus wel software installeren als er geen auteursrecht op zit?

Inderdaad, dat moet je dus niet doen. Ook moet je niet inloggen met tijdelijk gedegradeerde (UAC) rechten van de groep Administrators; als je als gewone gebruiker (lid van local group Users) inlogt mag je niet eens in C:\Windows\Temp\ kijken, laat staan daar "uitvoerbare" bestanden in wegschrijven en starten.

Dat is de enige juiste plaats om zoiets te doen. Het klopt ook dat recente ransomware vaak bestaat uit Javascript die een executable downloadt naar %TEMP% (meestal C:\Users\<LOGINNAAM>\AppData\Local\Temp\) en dan opstart. Maar er bestaat ook legitieme software die gewone gebruikers "via die route" kunnen installeren en/of updaten, en dat werkt dan natuurlijk ook niet meer. En dat kan ook weer een beveiligingsrisico opleveren - naast dat dit soort maatregelen mogelijk de creativiteit en gegarandeerd de loyaliteit van gebruikers (medewerkers of kinderen bijv.) aantasten.

Mijn C-schijf met systeem boeit mij niet (Windows en software kan ik opnieuw installeren, en bovendien heb ik bijna nergens schrijfrechten op drive C). Mijn bestanden staat op drives met andere letters, en die wil ik niet kwijt.

Verder heb je volkomen gelijk - maar doe daar ook een stukje awareness bij: als je een mail krijgt met een bijlage, of zonder bijlage terwijl je gevraagd wordt op een link te klikken, neem dan even de tijd om goed na te denken. Wat kun je zoal doen:

1) Is de mail authentiek (is deze verzonden door de getoonde afzender, en is de mail daarna niet gewijzigd), of weet je dat niet zeker? (als het antwoord ja is, ben je ofwel helderziend, ofwel je hebt onvoldoende verstand van e-mail om het veilig te kunnen gebruiken). Zie ook https://www.security.nl/posting/462423/Bijlage+2156_001_docm+van+scanner@ en https://www.security.nl/posting/459436/Spam%2Bmalware+van+copier@+jouwbedrijf_nl. Nb. spam , al dan niet met malware, kan ook echt vanaf het account van iemand die jij vertrouwt zijn verzonden, nl. als cybercriminelen toegang hebben gekregen tot dat account. EN dat komt vaker voor dan menigeen denkt.

2) Moet je iets doen "want anders"? Zoals klikken op een link of een bijlage openen, vaak om schade voor jou te beperken (bijvoorbeeld boete wegens te laten betaling, of misbruik van jouw huidige bankpas helpen voorkomen). Zo'n mail moet voor jou stinken aan alle kanten. Laat VirusTotal.com de bijlage en/of de werkelijke URL's scannen (voor dat laatste zul je wel de source van de mail moeten bekijken - leer jezelf dat aan). Als e.e.a. niet eerder door anderen is geüpload naar VirusTotal (klein kansje) en er geen risico's worden gemeld, wacht dan 1 dag en scan dan nogmaals. Realiseer je wel dat, als je per ongeluk vertrouwelijke informatie uploadt naar VirusTotal, derden daarbij kunnen. Als je denkt dat het belangrijk is en niet wilt uploaden: zoek op internet het telefoonnumer van het betreffende bedrijf en bel ze (natuurlijk geen telefoonnummer uit de mogelijke nepmail gebruiken, en ook de mail zelf moet je niet beantwoorden).

3) Zit de bijlage in een .zip, .rar, .cab of ander bestandscompressietype? Dat is meestal foute boel. De reden om dat te gebruiken is tweeledig:
A) spamfilters blokkeren deze extensies vaak niet
B) veel (non-Microsoft) packers die deze bestanden uitpakken, nemen daarbij de "Zone Identifier" niet over op de uitgepakte bestanden. Achtergrond: als je een bestand downloadt, voegt Microsoft hier een "Zone Identifier" attribuut aan toe (dit wordt aan het bestand gekoppeld middels een ADS = Alternate Data Stream). Dat zorgt ervoor dat, als je zo'n gedownload bestand opent door er bijv. op te dubbelklikken, je een waarschuwing krijgt dat het bestand potentieel gevaarlijke inhoud bevat, omdat het is gedownload vanaf een mogelijk onveilige server (of via een onveilige verbinding). O.a. 7Zip en Total Commander nemen zo'n gezet attribuut op .zip, .rar etc. bestanden niet over op de uitgepakte bestanden (dat zijn natuurlijk bugs). Veel mensen gebruiken dit soort programma's, en missen daardoor een waarschuwing die er wel had kunnen zijn.

4) Zorg dat bestandsextensies worden getoond (zodat je snel ziet dat rekening.pdf.exe, ook al heeft die een Adove Reader icoontje, natuurlijk geen rekening bevat. Houd rekening met idioot lange bestandsnamen, met veel spaties bijvoorbeeld, zoals:
waardoor de echte extensie, .exe vaak buiten beeld valt.

5) Als je al af en toe spam ontvangt op jouw e-mail adres, is de kans heel groot dat je ook kwaadaardige mails ontvangt of gaat ontvangen. Ga er dan vanuit dat alles wat je ontvangt, nep kan zijn.


De reden dat ik zelf nog nauwelijks iets met SRP (en AppLocker) gedaan heb, is dat ik er onvoldoende vertrouwen in heb. Het is voor cybercriminelen, zo verwacht ik, vermoedelijk relatief simpel om SRP/AppLocker te omzeilen, bijv. door een kwaadaardige PDF te downloaden en JavaScript daarin het vuile werk te laten doen. Immers, .pdf staat niet bij de standaard "bewaakte" bestandstypes (op basis van bestandsnaam-extensie, zie https://technet.microsoft.com/en-us/library/cc786941%28v=ws.10%29.aspx). Maar ook RaaS (Ransomware as a Service) zijn denkbaar.

Maatregelen als SRP/AppLocker zijn vergelijkbaar met het dichtstoppen van steeds meer luchtgaten in je huis omdat je buren zo'n "gezellige" vuuurkorf menen te moeten stoken - terwijl jij stikt van de astma. Hoe meer je dichtstopt, hoe minder rook in huis - maar ook hoe minder zuurstof om gezond te kunnen blijven leven.

Het is triest dat, over het algemeen verstandige, specialisten zich laten opfokken met snake oil wondermiddelen waar nog niemand aan gedacht lijkt te hebben, zonder daarbij de nadelen zelfs maar aan te stippen (net als al die briljante ideeën die spam zouden uitroeien). Als effectieve oplossingen simpel waren, bestonden ze reeds en paste iedereen ze allang toe.

Snake Oil is very good for ..

Python Boots !

And the disadvantages?
Well,..
is that the oil, that boot or
the feet that I'm smelling overthere?

Blijkbaar hebben jullie geen idee hoe het z'n werk gaat. Dit is een niet doorbedachte advies, want de meeste updates van 3e partij software wordt gewoon eerst naar %temp% gedownload en vandaar uitgevoerd. Succes ermee..

Mijn broer zit in de ICT en ik weet van hem dat het inderdaad waar is dat de medewerkers van bedrijven zelf niets, maar dan ook niets zelf mogen installeren op hun PC van het bedrijf. Dat is wel zo handig voor de stabiliteit van het draaiende Operating System als wel voor het voorkomen van allerlei installeerbare rommel.

Je adviezen over de awareness zijn natuurlijk prima. Social engineering lijkt het grootste lek te zijn. Daar moet je wat mee.

Werkplekbeheer ofwel het dichtimmeren van PC's van een bedrijf is een grote markt in Nederland. Software wordt per definitie niet door gewone gebruikers geinstalleerd. Het wordt via een aanvraagpriocedure ter beschikking gesteld.
Het is effectief maar niet simpel. Je noemt zelf al een van de bijkomstige nadelen. Jet kent het lees ik
"Mijn C-schijf met systeem boeit mij niet (Windows en software kan ik opnieuw installeren, en bovendien heb ik bijna nergens schrijfrechten op drive C)."

Dat is onjuist, je krijg zelfs wat minder waarschuwingen (als ordninary user krijg ik geen UAC popups als ik regedit of eventvwr.msc opstart, maar wel als ik dat als admin-met-UAC doe). Waar baseer je jouw uitlating op?

Ook dat is onjuist.

Dus niet.

Misschien wel tegen een volle schijf wel, maar zeker niet tegen ransomware.

Als je doelt op het stuk dat je vervolgens schrijft, dan klop dat. Maar ik neem aan dat je dat niet bedoelt. Als je voortaan een stuk tekst aanhaalt voordat je zoiets schrijft, snapt de lezer wat jij "volkomen onzin" vindt.

In mijn map C:\Users\evanstraten\AppData\Local\Temp\ staat op dit moment nog "jre-8u77-windows-au.exe". Dat is de Java security update van vorige week (voor details over dit bestand zie https://www.virustotal.com/en/file/b3affa46f3c5b91257753ec53216b7aa8f8f7f30940805a1c90473d912560d17/analysis/, voor meer info over de Java update zelf zie https://www.security.nl/posting/465592/Patch+Java+now%2C+says+Oracle_+Leave+the+chocolate+until+later en mijn reacties daaronder, of https://www.security.nl/posting/465595/Noodpatch+Oracle+voor+ernstig+Java-lek).

Daar heb je wat aan (not), al die mensen die vinden dat "iets niet hoort" en zich van de praktijk niks aantrekken.

Nee er berstaat GEEN ENKELE legitieme software die gewone gebruikers mogen installeren en/of updaten, of zelfs
uitvoeren!
Installeren of updaten van software gebeurt door de administrator, niet door gewone gebruikers.

Als men dat nou eens leert dan is het vanzelf afgelopen met trojan software als gevolg van ondoordachte acties van
de gebruiker.

een cryptolocker die bestanden encrypteert in userspace heeft geen admin rechten nodig.
Die heeft genoeg aan schrijfrechten op je files en op je netwerk drives.

Wij hebben nu in mcafee EPO ingeschakeld dat er geen executables vanuit temp dirs uitgevoerd kunnen worden.
Erg robuust is dit niet: de enige detectie bestaat uit het checken of de string "temp" voorkomt in het pad.
Dus als je een software installer in c:\mijnmap\tempstuff wilt uitvoeren, dan wordt dit ook geblokkeerd.

Maar het is een eerste bescherming tegen het uitvoeren van executables die in gezipte folders zitten.

Whitelisten van applicaties is natuurlijk veel beter, maar het hangt af van je omgeving of dit haalbaar is. Ik werk op een universiteit waar we niet zomaar alle onderzoekers in hun werk kunnen hinderen door hun pc volledig dicht te timmeren.

Deze ransomware gaat een hele andere manier van werken voorschrijven in de IT. Het is makkelijk gezegd dat gebruikers niets mogen installeren op zijn of haar eigen PC. Veel mensen willen niet voor elke pdf creator bellen met hun ITer en na 3 van dat soort telefoontjes eisen ze al local admin rechten.
Daarnaast vereisen programma's als Autocad vaak local admin rechten wanneer je voor de eerste alle functies hebt geprobeerd. Heb je veel wisselende werkplekken dan heb je al een probleem. Ik begrijp dat alles wel dicht te zetten valt, maar de klant is koning.

Wij gebruiken spamfilters van symantec, anti virus van bitdefender, uac staat aan, geen local admin en toch fietst het er zo doorheen. Vorige week weer met mailtjes van KPN. Geen bijlages maar gewoon hyperlinks die ipv een factuur van de kpn een exe downloaden. Een bedrijf als KPN stuurt haar facturen met @kpn.com en die slaperds hebben daar niet eens een fatsoenlijk werkend spf record op zitten.
Voorlopig zetten wij dan ook gewoon de temp mappen dicht.

Wat een brak tool is dat dan!
Waarom gebruik je niet de gewone Microsoft tool, die is veel krachtiger en hoef je ook niet apart te kopen.

Dit is helemaal niet gemakkelijk gezegd, het is juist ongehoord als gebruikers in een bedrijf mogen installeren wat
ze zelf willen. Niet alleen de veiligheid van de systemen maar ook de verantwoordelijkheid van het bedrijf voor licenties
e.d. komt daarmee in gevaar.

Als je software hebt die op runtime lokale admin rechten vereist moet je de leverancier aanspreken op hun broddelwerk.
Een leverancier die daar niet op ingaat is niet meer van deze tijd.