Windows Defender-tips voor de expert
Windows Defender is de eerste verdedigingslinie van Windows 10. Microsoft treft er veiligheidsmaatregelen mee die een extra antivirus-pakket overbodig kunnen maken. Standaard staat de bescherming al aan. Maar wie dieper graaft, vindt nog veel meer interessante security-opties.
PowerShell-script tegen pua's
De antimalwaretool van Microsoft kan via een PowerShell-script je systeem tegen pua’s (potentially unwanted applications) als cryptominers beschermen. Start PowerShell op als administrator en voer het volgende commando uit:
Set-MpPreference -PUAProtection 1Om de functie weer uit te schakelen wijzig je 1 in 0. Of je gebruikt in plaats daarvan de parameter AuditMode om pua’s wel te detecteren, maar niet te blokkeren. Er wordt dan een ingang in de Windows-logboeken aangemaakt. Druk op Windows-toets+R, voer eventvwr.msc uit en open Logboeken Toepassingen en Services / Microsoft / Windows / Windows Defender / Operational. Tracht je bijvoorbeeld het (onschuldige) EICAR-testvirus te downloaden, dan zie je dat ook hier verschijnen.
Inmiddels is het ook mogelijk om Windows Defender automatisch in een sandbox te draaien. Ook dat valt te regelen met een PowerShell-commando:
setx /M MP_FORCE_USE_SANDBOX 1 Na een herstart van Windows kun je ter controle het Windows-taakbeheer openen (via Ctrl+Shift+Esc): op het tabblad Details vind je nu ook MsMpEngCP.exe terug.
Windows Defender enGroepsbeleidseditor
Je merkt dus dat Windows Defender zich (ook) met behulp van Powershell laat configureren. Andere vectoren zijn nog het Windows-register en de Editor voor lokaal groepsbeleid. Dat is handig om te weten als je zelf bepaalde wijzigingen wilt doorvoeren. Laten we dat kort illustreren aan de hand van de hierboven vermelde pua-protectie. Wat het register betreft kan dat via de app Regedit of met het volgende opdrachtregelcommando, uit te voeren als administrator:
reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /v PUAProtection /t REG_DWORD /d 1 /fOm de Editor voor lokaal groepsbeleid op te starten, druk op je Windows-toets+R en voer je gpedit.msc uit. Navigeer vervolgens naar Computerconfiguratie / Beheersjablonen / Windows-onderdelen / Windows Defender Antivirus en dubbelklik in het rechterpaneel op Detectie van mogelijk ongewenste toepassingen configureren. Selecteer Ingeschakeld en bevestig met OK.
Het loont de moeite deze editor van naderbij te bekijken. Beheerders van een Windows Pro- of hoger systeem kunnen hiermee uit veiligheidsoverwegingen talloze restricties opleggen aan gebruikers. Google zal ook hier je vriend zijn.
In tegenstelling tot regedit voorziet gpedit jammer genoeg niet in de mogelijkheid om al je gefinetunede instellingen automatisch te back-uppen. Handmatig kan dat wel. Zorg dat je Verkenner ook verborgen mappen toont, navigeer naar %windir%\System32 en stel daar de complete inhoud van de submap GroupPolicy veilig. Bij corruptie kun je die dan altijd terugzetten (als administrator), waarna je de beleidsregels herstelt door als administrator het opdrachtregelcommando gpupdate /force te geven.
Windows-beveiliging
Windows Defender is eigenlijk maar een onderdeel van de ‘beveiligingssuite’ die Microsoft in Windows heeft geïntegreerd. Vroeger luisterde deze suite naar de naam Windows Defender-beveiligingscentrum, maar intussen is dat Windows-beveiliging geworden. Wanneer je deze app opstart, verschijnt linksonder de optie Instellingen. Klik die aan en klik vervolgens op Providers beheren om de ‘beveiligingsproviders’ te zien: dit zijn de geïnstalleerde apps en services die je systeem helpen beschermen. De link Beveiligings-apps zoeken in Microsoft Store toont je trouwens nog een aantal gratis, externe apps, waaronder een paar wachtwoordbeheerders.
In het hoofdvenster van Windows-beveiliging tref je ook een aantal rubrieken aan, waaronder Virus- en bedreigingsbeveiliging en App- en browserbeheer. We bekijken enkele minder bekende aspecten van beide rubrieken.
Open alvast Virus- en bedreigingsbeveiliging en klik op Instellingen beheren. Hier tref je onder meer de Manipulatiebescherming aan, een nieuwe feature vanaf Windows 10 1903 (inclusief Home) die moet voorkomen dat malware Defender kan uitschakelen, zoals eerder de malware Trojan Trickbot en Nodersok al deden.
SmartScreen
In de rubriek App- en browserbeheer tref je twee grote onderdelen aan: enerzijds enkele functies van Windows Defender SmartScreen, anderzijds Exploit Protection. SmartScreen helpt je te voorkomen dat je via je browser potentieel schadelijke sites bezoekt of bestanden downloadt. Microsoft heeft een aantal online tests voorzien waarmee je kunt nagaan of deze SmartScreen-beveiliging wel naar behoren werkt op demo.smartscreen.msft.net. Op deze site tref je knoppen aan met links naar onder meer webpagina’s met phishing, malware, exploits en verdachte frames. Let wel, het gaat slechts om een demosite; geen enkele pagina bevat dus echt schadelijke software.
Standaard werkt deze beveiliging alleen maar wanneer je met Edge surft, maar inmiddels is er ook een plug-in beschikbaar voor Chrome: Windows Defender Browser Protection. Alleen hebben we ervaren dat deze plug-in lang niet zo grondig of betrouwbaar werkt als de beveiliging vanuit Edge. We mogen natuurlijk niet uit het oog verliezen dat deze demosite door Microsoft werd opgezet.
Op demo.wd.microsoft.com tref je onder de noemer Windows Active Defense een reeks andere tests aan, waarvan sommige een aanmelding met je Microsoft-account vereisen. Hier vind je onder meer een pua-test en een testtool om de werking van je Controlled Folder Access (antiransomware) en van Exploit Protection te controleren. In het volgende stuk lees je meer over deze laatste.
Exploit Protection
Exploit Protection tot slot werd in de Fall Creators Update van Windows 10 geïntroduceerd. Je kunt deze beveiliging zien als een geïntegreerde versie van Microsofts vroegere EMET (Exploit Mitigation Experience Toolkit). Deze functie is standaard actief in Windows.
Om die te beheren klik je op Instellingen voor Exploit Protection. Je merkt dat het eigenlijk gaat om een collectie van diverse beschermingsmaatregelen die allerlei exploits horen tegen te gaan. Alle maatregelen zijn standaard ingeschakeld, behalve Randomisering voor afbeeldingen forceren (verplichte ASLR) (overigens is dit een wat kromme vertaling voor ‘images’, een technische term voor, zeg maar, exes en dll’s). Tenzij je goede redenen hebt om een onderdeel aan te passen, laat je de standaardinstellingen beter ongemoeid.
Houd er wel rekening mee dat je hier naast het tabblad Systeeminstellingen ook nog Programma-instellingen terugvindt. Op dit laatste kun je de instellingen op applicatieniveau aanpassen en die krijgen in principe voorrang op wat er op systeemniveau staat ingesteld. Stel, je wilt Data Execution Prevention (DEP) standaard uitschakelen, behalve voor <applicatie.exe>. Dan stel je DEP bij Systeeminstellingen in op Standaard uitgeschakeld. Bij Programma-instellingen druk je op de plusknop, kies je Toevoegen per programmanaam, vul je <applicatie.exe> in, plaats je bij DEP een vinkje naast Systeeminstellingen negerenen stel je de functie in op Aan. Ook het omgekeerde is uiteraard mogelijk, wat handig kan zijn als je door de ingestelde beveiligingen problemen ondervindt met een specifiek (bonafide) programma.