Ter aanvulling, en een bump: hoewel ik (zoals altijd ;-) wel iets te mekkeren heb:
Bovengenoemde is een van de beste security-checklists voor Windows-omgevingen die ik ooit heb gezien!Een voorbeeld van een m.i. veel slechter advies tegen indringers en ransomware vind je in het rapport van Osterman Research en Trend Micro dat je via
https://resources.trendmicro.com/Osterman-Email-Security-WP.html (na het opgeven van jouw contactgegevens, maar met even googlen is ook een directe link te vinden. Mijn bron hiervoor:
https://www.zdnet.com/article/ransomware-only-half-of-organisations-can-effectively-defend-against-attacks-warns-report/ van gistermiddag, het rapport zelf is van dit voorjaar).
In dat Osterman Research rapport "How to Reduce the Risk of Phishing and Ransomware" zie ik geen advies voor maatregelen tegen lateral movement, terwijl er wel nadruk wordt gelegd op "het belang van MFA" en "Cloud-based backups" (waar je niks aan hebt als de ransomware-boefjes ook die kunnen wissen of overschrijven met nu versleutelde bestanden). Waarom MFA vaak onvoldoende helpt, lees je bijvoorbeeld in
https://www.cyberark.com/resources/threat-research-blog/mfa-bypass-techniques-from-red-team-research.
M.b.t. de ontbrekende ondersteuning van (group) policies in sommige Microsoft Office versies: vorig jaar heb ik een HKCU registry entry ontdekt waarmee je
toch Office macro's kunt blokkeren,
ongeacht de instellingen die een gebruiker zelf in Office kan wijzigen en waar de meeste phishing/malware-mails met MS Office bijlage toe oproepen.
Nb. een gebruiker kan
wel zelf deze registerinstelling wijzigen (in tegenstelling tot registerinstellingen voor policies), maar hoewel dit security by obscurity is, is de kans daarop bij de meeste gebruikers een stuk kleiner dan dat zij instellingen binnen Office wijzigen - met instructies in de misleidende e-mail. Laat maar weten als hier belangstelling voor bestaat, dan zoek ik uit om welke keys/names/values het ook alweer ging, en of deze nu nog werken (ik kan natuurlijk niet beloven dat deze ongedocumenteerde instelling nu en/of na toekomstige updates en/of upgrades zal blijven werken).
Ten slotte: als er bij de bezoekers van security.nl geen belanstelling meer bestaat voor beveiliging van Microsoft software (zo goed en kwaad als dat gaat): prima, dan ga ik geen tijd meer stoppen in het schrijven van bijdragen als bovenstaande.