Volgens mij is dat wel de derde stap maar niet de laatste. De laatse en vierde stap is natuurlijk het uitzetten van een
traject ter uitfasering van Windows. Wellicht voor sommigen iets wat niet op korte termijn kan, maar ga dan in ieder
geval in de nabije toekomst bij beslissingen rond nieuwe features en software meteen even kijken hoe dat buiten het
Windows platform gedaan kan worden, zodat je niet bezig blijft jezelf in te graven.

Windows kun je prima beveiligen. Daarvoor zou ik er niet vanaf stappen.
Elk systeem kan gehacked worden.

Het scheelt al een hoop als bedrijven deze drie aanbevelingen van Microsoft consequent doorvoeren.

Stap 1 - Volgens mij zijn er eerst nog wat andere stappen. Deze lijst is zo opgesteld dat hele pijnlijke puntjes worden vermeden. Namelijk het veilig maken van je software (updates, patches, onnodige poorten dicht)...

Kortom flut lijst.

Stappenplan teruggebracht tot de drie kernpunten:

1. Installeer RHEL op een OpenZFS RAID cluster.
2. Schakel de root uit: gebruik sudo met 2FA tokens.
3. Gebruik Snort monitoring en off-line backups.

Een lichte voorkeur voor RedHat Enterprice Linux met SELinux, maar Debian met AppArmor op OpenZFS is ook prima.

Misschien een idee om zaken zoals applocker weer beschikbaar te maken voor andere versies van windows dan enterprise, en misschien een keer bepaalde designfouten een keer structureel aan te pakken ipv gewoon in het OS te laten zitten vanwege vermeende backwards compatibiliteit.

#ROFL (doodmoe word ik van die Microsoft-wappies)


In theorie wel. In de praktijk is het afgerond 100% Microsoft Windows dat gehackt en geransomwared wordt.

Leuk verhaal, maar wanneer je afhankelijk bent van bepaalde productiemiddelen en die alleen via Microsoft-based software beheerd/aangestuurd kunnen worden, ben je toch uitgepraat.

Nog veel vermoeiender zijn de mensen die denken dat ze de wijsheid in pacht hebben. En dat heel veel gebeurd op het Windows platform is logisch. Wanneer iets op 80+% van de systemen gebruikt wordt, dan is het logisch dat 90+% van de aanvallen hierop gebeurt. Zie (helaas) ook terroristen. Die plegen aanslagen ook op plaatsen waar ze makkelijk veel slachtoffers maken. Dan hebben ze veel aandacht en bereiken het makkelijkst het beoogde resultaat.

Daarom staat er ook niet "haal Windows weg". Er staat een veel genuanceerder verhaal. In jouw situatie zou dat inhouden
dat als je weer nieuwe "bepaalde productiemiddelen" gaat aanschaffen, je er op let dat die niet alleen via Microsoft-based
software kan worden aangstuurd. Zodat je later meer vrijheid hebt. En je laat je leverancier weten dat je hier op let, zodat
die er ook mee bekend is dat je graag wilt dat ze (ook) andere omgevingen ondersteunen.

Leuk geprobeerd maar de heilige graal voor de hacker zijn natuurlijk de gebruikersdata op de Google servers (Android telefoons, Google docs, etc.) Maar ja, Google draait Linux dus daar komen ze niet bij. Geloof maar dat ze het geprobeerd hebben en dat nog steeds doen. Maar ja, het is geen gemakkelijk slachtoffer, zoals spaghetticodebouwwerk Windows dat is.

Zo lek als wat met al die nosql databases in de cloud. Daar komt zowat 99% van alle hacks en lekken vandaan. Ik mis de regelmaat in mongodb elastic search en consorten met de sql-injection.
Leuk geprobeerd maar je mist te veel.

Leuk geprobeerd maar kom in plaats van die non-beheer issues eens met een voorbeeld van Google gebruikersdata die op straat liggen of die zijn gegijzeld? Naar Microsoft voorbeelden hoef ik toch niet te gaan zoeken voor je? Tik maar Microsoft in het zoekveld van deze site. Echt, ik zeg 't je: die Microsoft-wappies, dat zijn de ergsten.

Je zit er naast. Windows is niet het meest gebruikte OS. Ongelooflijk waarom mensen dit steeds denken. Waarschijnlijk om te rechtvaardigen waarom de windows kwaliteit zo slecht is.

Wat jammer toch dat een bepaald deel van het publiek hier niet boven zichzelf uit kan stijgen en dat daardoor de threads steevast in een treurige meningendiarree verzanden.

Wie cybercrime heeft gevolgd en serieus gekeken heeft naar de publieke rapporten over de vele incidenten weet al lang dat 99% van de aanvallen mogelijk zijn omdat het beheer, de mensen en de processen, ernstig te wensen overlaten.

Ja, Windows is vaak betrokken in een incident, omdat het nou eenmaal heel veel gebruikt wordt, al helemaal op de frontlinie van cybercrime: de client.

Maar de zwaktes zitten steevast in hoe een en ander is ingericht en beheerd. Denk bijvoorbeeld aan Hof van Twente, de Universiteit van Maastricht, etc. Slecht beheerde Linux systemen of Macs zijn net zo kwetsbaar.
Stel je voor: Hof van Twente helemaal op Linux, maar net als een paar maanden geleden met de backups onbeveiligd op het netwerk, en net zo knullig beveiligd als toen, dus slecht gepatched en onveilig ingericht.
Uni Maastricht - als de beheerders standaard met het "root" account hadden gewerkt waren ze precies zo de klos geweest.
Etc., etc.

Ik weet wel dat het goed voelt om lekker even een mening er uit te gooien, maar daar is niemand bij gebaat.
We zouden juist beter samen moeten nadenken over hoe de IT-wereld veiliger kan.

Dr meeste mensen worden moe van mensen die denken linux de oplossing voor alles is. Elke fatsoenlijke ITer die een beetje weet war er in organisaties speelt weet dat linux niet overal op toe te passen is.

Wat een flutlijst.
1 - recoveryplan
2 - systeembeheer accounts beschermen.
3 - aanvalsoppervlak verkleinen en patchmanagement toe passen.

Hiemee laat MS zien dat netwerksegmentatie niets oplost en dat het weer aan de gebruiker ligt en niet aan Microsoft.
Punt 1 en 2 hebben en doen de meesten al. Punt 3 blijft Microsoft zelf enorm in gebreke. Voor bewijs zie een willekeurige UNIX kloon waar je de GUI bv zo kan de-installeren. Kortom alles er af kan halen wat je niet nodig hebt en waar de patches elke dag binnen komen als ze klaar zijn zodat je geen maand hoeft te wachten. Een weekend is al desastreus zie exchange en printspooler. Zie ook de grote van de disk.
Of te wel Microsoft houd de eer aan je zelf en haal dat windows van de markt voordat ransomware dat doet (dat schiet al aarditg op).

Nog erger dan de The Black Knight "It's just a flesh wound!" https://www.youtube.com/watch?v=zKhEw7nD9C4

Die is geweldig ja! (The Black Knight). Dit is een betere versie: https://youtu.be/4slV0qSgvV4 - All right, we'll call it a draw :-)

Tja het niveau van de oss ridders is duidelijk.
Zelf niets kunnen brengen maar wel nasr anderen wijzen.
Deze houding is zekere een bedreiging die nog niet genoemd is.
De beheerders zelf die de boel.lopen te saboteren.

The black knight is een heel mooi voorbeeld hoe jij reageert. Namelijk kansloos met nepinformatie en complotten over sabotage. Je zet jezelf voor schut maar blijkbaar zit je daar niet mee.

Dit is al mogelijk, je kan namelijk WDAC (Windows Defender Application Control) gebruiken.
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/feature-availability

Deze is voor Windows 10 en 11 beschikbaar voor alle SKU's.
Is alleen in te stellen via command-line, maar persoonlijk vind ik dit krachtiger dan Applocker.
De command-lines om een policy te maken is niet voor alle SKU's beschikbaar, maar je kan de policy wel deployen op elke SKU.
Zit tevens ook gewoon ingebouwd in Windows 10 en 11, oftewel geen additionele (third party) software nodig.

Ach, ach, ach, de inhoudelijke argumenten zijn op en dan maar proberen op de ethos [1] te spelen? Dan moet je eerst zelf de vereiste ethos hebben en die heb jij zeker niet (en humor blijkbaar ook niet). N.B.: zowel walmare als ikzelf hebben uitgebreid onze argumenten onderbouwd maar op een gegeven moment blijkt dat de windowswappie niet met logische argumenten bereikt kan worden en dan gooi je er maar wat humor tussendoor, om dat voor het voetlicht te brengen.

[1] Middelen van overtuiging - https://nl.wikipedia.org/wiki/Middelen_van_overtuiging

Ach Toje......

Weer al dat anti-MS gepraat.
Als je het hele verhaal zou vertellen, zou je ook vertellen dat bij Google de YubiKey gemeengoed is, wat vrijwel alle hackpogingen op gebruikers niveau teniet doet.
Dit is ook eenvoudig te implementeren voor een Windows gebaseerd netwerk, maar levert een extra technische stap op voor gebruikers,

Echter weten we allemaal dat de gebruiker de zwakste schakel is in het hele proces.
Daarnaast is een Windows machine de meest gebruikte variabele in OS land, dus ook de meest aangevallen.
Er is genoeg malware voor Linux en OSX/iOS, maar daar horen we dan weer minder over.

Helaas zijn sommige van ons niet in staat om compleet over te stappen, omdat de software domweg niet bestaat/draait onder Linux. Dus voor de gewone kantoor werkzaamheden zitten de bedrijven veelal vast aan Windows.
Voor server is het een ander verhaal, daar zou de overstap gemaakt kunnen worden voor diverse werkzaamheden.

[Tja... De adviezen van een specialist, die niet begrijpt waarover hij praat of wat de klant nodig heeft.

Dit laat hele goede basis maatregelen zien, die eventueel een ransomware uitbraakt zeer limiteren.
Stap 4: Ga nu koffie drinken, want het bedrijf ligt nu still, omdat men niet meer kan werken met de applicaties die het bedrijf nodig heeft.
Echt goed advies.... NOT....Tja.... Zet je bril eens af, dan kan er zomaar een wereld voor je opengaan.

Ik heb de nodige NAS issues voorbij zien komen. Databases die gehacked worden,die draaien eigenlijk nooit op Windows.
Iets met BIAS denken?

Daar is malware zijn post weer met zijn expertise... Of ontbreken er van, want dat haat hij overduidelijk hier ook weer zien.
Zeker punt 2 wordt juist heel vaak niet geïmplementeerd bij bedrijven, terwijl het wel heel goed tegen ransomware werkt.
Punten 1,2,3 zijn juist hele goede adviezen waar menig bedrijf half of niet goed implementeert en dat ligt niet aan Microsoft. Veelal legacy of te complex of te veel impact voor gebruikers.

wat ineens dan minder logisch is is dat op alles behalve de desktop (top500) een ander OS dan windows wordt gebruikt en dat zijn er heel veel meer dan alle desktopster wereld bij elkaar. negeer je dat feitje ook even niet?

nope exchange is de draak die steeds de sjaak is die vaak meteen dan via een ntlm dingetje full AD access weet te krijgen. daarna komen rdp / citrix als follow up. volg de wekelijkse lijst op bleepingcomputer.com maar:

https://www.bleepingcomputer.com/news/security/the-week-in-ransomware-september-3rd-2021-targeting-exchange/

behalve dan dat ook pimmetje van northwave constateert dat ook bij die gevalletjes die jij als voorbeeld aandraagt de unix omgevingen niets overkomen was/is! de rapportjes van UM en anderen laten dat ook weer duidelijk zien... dus...

ik zou willen stellen dat niet zo zeer het uitkleden van het OS zo belangrijk is alswel het dagelijks automatisch risicoloos door kunnen voeren van updates zonder dta er langduringe downtime / reboots nodig zijn en de kwaliteit van de patches dus de echte 'game changer' is. niet voor niets is MS nu druk bezig ook een 'apt-get' te bouwen :P, maar het zal niet voldoende zijn als update kwaliteit rottig blijft (zie printer spooler drama) en reboots nodig blijven...

Je kan een verrot, oud spaghetticodebouwwerk daarmee niet redden. Neem bijvoorbeeld die GUI die verspaghetticoded is in het besturingssysteem. Neem die file locking issues waardoor er steeds gereboot moet worden bij updates. Nee, het enige dat Microsoft Windows kan redden is het volledig uitfaseren van het besturingssysteem, en alle applicaties omschrijven (porten), zodat ze kunnen draaien op een echt besturingssysteem.

De meeste bedrijven draaien alles al lang on Office 365. Maar alles is gewoon goed en veilig in te richten, mits je de juiste kennis en kunde hebt.

Iets van eigenlijk niet begrijpen waarover je nu praat.

De gebruikelijke Fos onzin. Geeft niet, gelukkig hebben andere wel verstand van Microsoft producten.

Je kan gewoon als Tintin and Milou reageren hoor (ik blijf je aardig vinden, ondanks dat we het stevig oneens kunnen zijn).

Windows-wappies missen het vermogen om argumenten te beoordelen. Zo gaat aanvalsoppervlak verkleinen er niet in. Men begrijpt dat niet. Het ligt altijd aan de gebruiker of beheerder. Commentaar op de grote roerganger leidt altijd tot een argumentum ad hominem. Waarschijnlijk zijn ze eigenlijk bang voor hun baan en dat ze weer moeten gaan studeren en solliciteren.

En de laatste stap, sluit je bedrijf daar een heleboel software Windows only is!
Maar je kunt in ieder geval trots op jezelf wezen, je hebt Bill immers een poepie laten ruiken met de overgang naar Red Hat ;-)

"Iets van eigenlijk niet begrijpen waarover je nu praat."


ha ha ha in iedergeval ben je eerlijk om toe te geven dat je iets niet begrijpt! daarom een poging het betr uit te leggen:

ik denk dat als updates voor een OS dgaelijks zonder reboots en risicos op down time of echte significante interrupties van de buisness doorgevoerd kunnen worden, dat je dan die automatische updates aan zet en je niet meer zo ellende hebt. als nu ook nog eens die updates dan daadwerleijk fixen wat er mis was (en niet dat er drie of vier updates nodig zijn voordat een printer spooler drama ding is opgelost), dan zullen de zaken in de wereld veranderen. om bedrijven die software verkopen dat de 'dwingen' te gaan doen, die kwaliteit en frequentie van updates te bieden, moeten we eerst een deel van de verantwoordelijkheid vwb de ellende terug leggen bij die bedrijven. ze gaan dit niet vanzelf doen als ze vooralsnog met goedkope 'het is de gebruiker' smoezen de fundamentele kwaliteits issues weg kunnen wuiven (apple you are holding it wrong). nu voordat er were types gaan gillen 'dat kan niet' en 'het is een utopie', dan verwijs ik toch graag naar RHEL (en derivaten). Op zo een systeem, mits je je ook aan de officele repositories houdt, kun je vrij risico loos de 'yum' elke nacht de updates laten doorvoeren en met 'needrestart' kun je dan ook de services die moeten herstarten en op die manier hoef je enkel en alleen af en toe nog maar een kernel rebootje te plannen eens in de maand ofzo. alles in minder dan 1 min tijd per dag / 5 min tijd per maand. mocht het nu echt allemaal zo buisness critisch zijn, dan kun je nog kpatch doen oid en dan hoeven die kernel reboots ook niet echt eens in de maand en de stap daarna is dan richting HA opzetten te gaan kijken. allemaal bestaande technologieen en niets nieuws onder de zon.

Echter, als je eens goed luistert naar de MS exchange beheerders in het veld, dan zul je merken dat die arme mensen met een draak bezig zijn en dit soort dingen niet zo super eenvoudig (zonder ingewikkelde clustering etc.) op kunnen zetten en beheren. Maarja, dan heb je wel een mooie html e-mail webmail outlook interface met smileys enzo meer en waarbij 3/4 van je scherm gevuld gaat zijn met alles behalve de e-mail text :).

Wat jij dus wilt... kan mij niets schelen... maar die BS dat het niet zou kunnen, daar heb ik genoeg van. dat komt eerder door gebrek aan ervaring en kennis van zaken dan !

Vertel! (geef één voorbeeld). Want dat wordt steeds geroepen maar mijn bedrijf draait al jááááren volledig op Linux en ik kan me werkelijk waar niet voorstellen welke software ik dan zou missen die alleen op Windows zou draaien.

hoe relateren die drie stappen zich nu tegenover:

https://www.bleepingcomputer.com/news/microsoft/windows-mshtml-zero-day-defenses-bypassed-as-new-info-emerges/

juist ja...

De beste security die ik naast mijn vele windows besturingssystemen in mijn serverrack is de aanschaf van een CHROMEBOOK. Betere security kun je niet krijgen bij het betreden van het internet. Maar waarschijnlijk schop je daarmee de die-hard users (met aandelen Microsoft) tegen het verkeerde been. Oh ja wanneer gaan ze windows standaard uitrollen met bestands-extensies AAN in Windows Explorer, over security gesproken.