Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft brengt EMET terug voor Enterprise-gebruikers in Fall-update

Door , 64 reacties, submitter: sambalbaj

Microsoft heeft bekendgemaakt dat het met de komst van de Fall Creators Update een aantal vernieuwingen op beveiligingsgebied voor Enterprise-gebruikers introduceert. Zo maakt Exploit Guard deel uit van de nieuwe onderdelen, daarbij gaat het om een omgebouwd EMET.

Microsoft topman Rob Lefferts zegt tegen The Register: "We hielden zo veel van EMET dat we het in Windows 10 hebben ingebouwd. Alles wat je met EMET kon doen, kan ook met Exploit Guard." Microsoft had eind vorig jaar oorspronkelijk aangekondigd met de Enhanced Mitigation Experience Toolkit te stoppen, dat bescherming bood tegen exploits. Het bedrijf zei toen dat de in 2009 uitgebrachte software niet meer voldeed en dat er manieren zijn om EMET te omzeilen. Lefferts stelt nu dat 'feedback van klanten heeft gezorgd voor de ontwikkeling van Exploit Guard'.

In de aankondiging stelt het Redmondse bedrijf dat Windows Defender Exploit Guard, zoals de software volledig heet, bijvoorbeeld in staat zal zijn om Word-documenten ervan te weerhouden om macro’s uit te voeren. Dat is een veelgebruikte techniek om malware te verspreiden door middel van phishingsmails met daarin kwaadaardige Word-bestanden. Ook moeten kwaadaardige websites geblokkeerd kunnen worden met SmartScreen en zorgt Exploit Guard voor een kleinere attack surface.

Daarnaast komt Microsoft onder meer met een vernieuwd overzicht in Defender, waarin beveiligingsinformatie wordt weergegeven. Application Guard moet er bovendien voor zorgen dat malware wordt geïsoleerd dat er geen verdere infectie kan plaatsvinden.

Bij de aankondigingen gaat het om vernieuwingen voor de zogenaamde Advanced Threat Protection van Windows Defender, die alleen voor Enterprise en Education-gebruikers beschikbaar is. Microsoft maakt wel bekend dat het van plan is om ATP uit te breiden naar Windows Server, beginnend met Server 2012 R2 en 2016. Ook wil het platformen buiten Windows ondersteunen, maar details daarover moeten later volgen.

Reacties (64)

Wijzig sortering
Waarom kunnen ze niet gewoon e-mail en office-programma's en browser standaard in een sandbox laten draaien? Dan heb je dit soort problemen toch helemaal niet meer?
Microsoft's nieuwe aanpak met UWP apps biedt hier een oplossing voor. Die runnen allemaal sandboxed. Ook Win32 apps die hierin "gewrapt" worden als UWP draaien sandboxed. Dit is één van de grote voordelen dat het te bieden heeft, samen met het feit dat het dan netjes te vinden is op één plaats: de Windows Store. Het probleem is dat mensen maar zitten te bashen op deze nieuwe technologie ipv te kijken naar de voordelen. Microsoft is ook bezig met de volledige Office-suite aan te bieden in de store. Die is reeds beschikbaar voor mensen die Windows 10 S gebruiken. Maar zo te zien beginnen developers het wel te omarmen. Er zijn intussen al een aantal Win32 programma's beschikbaar zoals Spotify, Slack en Irfanview.
Probleem alleen met UWP is dat 99% van de software daar niet beschikbaar is.
Alleen "standaard" en "populaire" programma's. Voor bedrijven maakt dit geen oplossing op het moment, waar nog veel maatwerk is. Verder hebben veel gewone consumenten ook een hoop programma's die niet beschikbaar zijn in de Store-omgeving.

Verder omarm ik het juist wel als nieuwe oplossing hoor, maar het gaat nog hééé'l lang duren voor het volwassen en een bruikbaar alternatief is.
Dat is waar, maar vandaar dat ik ook zeg dat het een oplossing is waarvoor men minder terughoudend zou moeten zijn. Het zou blijkbaar zeer eenvoudig zijn om je Win32-app te verpakken in een UWP app (zie: Project Centennial) en bovendien kunnen op maat gemaakte programma's worden gesideload (dus zonder via de Store te moeten gaan). Om nu te zeggen dat het nog hééél lang gaat duren: hmm dat kan ik zo niet zeggen. Maar het heeft wel zijn tijd nodig alvorens alles in de Store is, helaas.
Het zou blijkbaar zeer eenvoudig zijn om je Win32-app te verpakken in een UWP app (zie: Project Centennial) en bovendien kunnen op maat gemaakte programma's worden gesideload (dus zonder via de Store te moeten gaan).
Toch niet zo eenvoudig dat eindgebruikers dat ook kunnen doen voor de apps die ze op dvd hebben gekocht.
Je kan nog steeds UWP applicaties sideloaden, je hoeft die dus niet in de store te stoppen.
Voor bedrijven maakt dit geen oplossing op het moment, waar nog veel maatwerk is.
Bedrijven kunnen er ook voor kiezen om hun software te packagen als UWP app ipv als MSI.
Probleem alleen met UWP is dat 99% van de software daar niet beschikbaar is.
Dat kan je Microsoft niet kwalijk nemen, ze bieden genoeg tools aan, maar het zijn de (oorspronkelijke) softwaremakers die het natuurlijk wel moeten doen.

Microsoft is altijd al enorm bezig geweest met backwards compatibility en dat is vaak een enorme remming op de vooruitgang. Ze willen de grootste gemene deler zijn ipv de kleinste. Als je kijkt hoe Apple indertijd besliste om over te stappen van PowerPC naar x86, dan is daar procentueel veel meer last geweest en werden fabrikanten verplicht om de "nieuwe" instructieset te gebruiken of hun software was gewoon niet meer bruikbaar.
Als irfanview het kan, en dat is toch al +10 jaar oud waar blijft de rest dan, te druk met android?
Als Office in UWP vorm wordt aangeboden dan kan een Word document met malafide macro erin nog steeds Office documenten slopen, want Word moet natuurlijk wel kunnen schrijven naar dat soort bestanden.

Dan kunnen je documentjes dus alsnog gegijzeld worden...

Sandboxing is niet altijd de juiste oplossing voor alles helaas.
Sandbox is inderdaad geen oplossing, maar het is wel een vorm van schadebeperking. Documenten in een sandbox overnemen heb ik liever dan mijn complete systeem overnemen. Het is nooit 100% beveiligd.

[Reactie gewijzigd door OmgItsKoen op 28 juni 2017 10:30]

Word (en Excel) kunnen ook ODBC koppelingen hebben, zijn geïntegreerd met de webbrowser en werken naadloos met Sharepoint en Onedrive. Een besmetting gaat op die manier tóch zo het hele bedrijf door.
Dan heb je het over de win32 toepassing, de UWP variant draait in een sandbox.
Weet je dat heel zeker? Ik geloof niet dat ik op mijn (x86-64, w10pro) systemen zo snel even een UWP versie van office installeren kan om te testen, maar zijn die versies niet in staat zelf een document te openen wat ik ze niet eerst zelf aanvoer? Kan ik daarmee niet gewoon het bestandssysteem 'in' (via /bestand/openen, om eens iets te noemen) om zelf bestanden te benaderen? want zodra ze die privs hebben zijn ze gewoon kwetsbaar voor precies het soort narigheid waar we de laatste tijd zo mee worstelen.

Kan me haast niet voorstellen dat het niet kan ook - privé zou ik er geen last van hebben (je opent toch wel via windows verkenner, werkt toch wel aan één bestandje tegelijk, noem maar op :) ) maar professioneel, jemig. Dat gaat menig een workflow (en koppeling) danig dwarsbomen, lijkt me?
Kunnen ze ook json ophalen van een webservice?
Dit.
Ik blijf me verbazen over het feit dat anno 2017 word-bestanden met macro's nog steeds ongekende vernieling aan kunnen richten. Als je weet dat pak 'm beet 80% van je userbase digibeten zijn met het analytisch vermogen van een aardappel (en dus allerlei wazige bijlages van wazige afzenders gaan openen) dan richt je daar je systeem toch effectief op in? Of schakel de functionaliteit gewoon volledig uit... Ik heb in mijn hele werkend leven nog nooit een bedrijf gezien dat gebruik maakt van macro's in Word 8)7
Ik heb in mijn hele werkend leven nog nooit een bedrijf gezien dat gebruik maakt van macro's in Word
En toch zijn er legio.
Ik gebruik zelf een word macro, heb in mijn werkzame leven genoeg bedrijven gezien die hun brief templates e.d. met macro's aanvullen etc. Het is echt niet zo vreemd om macro's te gebruiken.

Ik denk wel dat het (nog) lastiger gemaakt kan worden om macro's van een (onveilige) locatie te gebruiken. Alleen de specifieke extensie (inderdaad, de gemiddelde gebruiker heeft geen idee) en de waarschuwing zijn klaarblijkelijk niet voldoende.
Van mij mogen ze dan ook ergens ver weggestopt een vinkje maken waarin macro's opt-in aangezet kunnen worden. Dan kan de advanced user ze gewoon gebruiken en al die leken kunnen moeilijker per ongeluk toch zo'n macro draaien.
Macro's buiten excel zijn sowieso iets wat verboden moet worden...
als Word nu eens standaard Word-Viewer zou gebruiken om word documenten die vreemd zijn te openen... dan worden al die bijlagen standaard geopend in een programma dat amper nog schade kan aanrichten..

blijkt het dan echt een document te zijn dat bewerkt moet worden kunnen ze bv met 1 knop overschakelen naar de volwaardige word ... dat zou al een hele hap kunnen weghalen van het probleem met malafide documenten
Is toch ongeveer wat er nu gebeurd? Document wordt geopend in "beveiligde weergave" waar er niets uitgevoerd kan worden. Pas als er op de knop "bewerking inschakelen" kunnen macro's uitgevoerd worden

Of ik zou mij moeten vergissen
In de beveiligde weergave kun je zelfs niet eens printen. :?
Stel dat je een document hebt waarvan je weet dat er een macrovirus in zit maar je hebt de inhoud nog wel nodig, dan kun je het via ocr nog herstellen maar dan moet je wel kunnen printen. .
Uhh, Office werkt al tijden op die manier..
Alleen de meeste gebruikers zijn zo dom om daar uit te gaan omdat er een gele balk met uitroepteken staat dat macro's uit staan om de gebruiker te beschermen.. die klikken dan gewoon op inschakelen
Alleen de meeste gebruikers zijn zo dom om daar uit te gaan omdat er een gele balk met uitroepteken staat dat macro's uit staan om de gebruiker te beschermen..
Nee, die gele balk zegt dat je niets met je document kunt doen totdat je hem wegklikt. Vrijwel iedereen wilt iets doen met het document, printen of bewerken, dus kun je je werk niet doen als je die balk niet eerst wegklikt.

Die balk staat er ongeacht of er wel of geen macro's, wel of geen links naar externe documenten in staan. Je hebt er dus als gebruiker niets aan. Het enige wat het aangeeft is dat het document van buiten je eigen computer komt, en dat wist je als je het document opent al.
Onzinnig wil ik het nog net* niet noemen, maar die gele balk draagt zo niets bij aan veilig omgaan met documenten.
Sub borders()
'
' borders Macro
' Alle plaatjes een rand geven
'
Dim oInlineShp As InlineShape
For Each oInlineShp In ActiveDocument.InlineShapes
With oInlineShp
With .borders(wdBorderLeft)
.LineStyle = wdLineStyleSingle
.LineWidth = wdLineWidth100pt
.Color = wdColorAutomatic
End With
With .borders(wdBorderRight)
.LineStyle = wdLineStyleSingle
.LineWidth = wdLineWidth100pt
.Color = wdColorAutomatic
End With
With .borders(wdBorderTop)
.LineStyle = wdLineStyleSingle
.LineWidth = wdLineWidth100pt
.Color = wdColorAutomatic
End With
With .borders(wdBorderBottom)
.LineStyle = wdLineStyleSingle
.LineWidth = wdLineWidth100pt
.Color = wdColorAutomatic
End With
End With
Next
End Sub
en dat is nodig omdat?
ik denk om randen rond plaatjes te zetten. Maar probeer het uit.
But why? Ik snap het niet waarom dit als reactie wordt geschreven op hetgeen wat ik schrijf?
AIs je vraag is "en dat is nodig omdat?", vrij vertaald naar "waarom moeten er randen om plaatjes?" Dan is het antwoord: dan kan je zien waar de illustratie ophoudt en de reguliere tekst verder gaat. Als dat je vraag niet is, dan svp nog duidelijker aangeven wat je vraag wel is.
jij stuurt die code als reactie op mijn bericht. Alleen snap ik niet waarom je dat als reactie zet op mijn bericht :D

Ik zet neer
Macro's buiten excel zijn sowieso iets wat verboden moet worden...
en jij zet je code als reactie neer.

Dat snap ik niet :)
Oh, dan enige uitleg: de code is een voorbeeld van een zinvolle macro in word. Jij stelde dat macro's in word verboden zouden moeten worden. Ik ben blij dat je niet bij de wetgevende macht zit, anders had ik een probleem. Ik was er per abuis vanuit gegaan dat je zelf wel gezien had waar deze code toe diende.
Weet niet waar jij gewerkt hebt in het verleden, maar ik ken er genoeg...
Ben al honderden zo niet duizenden excel macro's tegenkomen, maar Word... nee. Ik kan me eigenlijk ook moeilijk een usercase voorstellen waarbij je ècht een macro in word nodig hebt. Als het gaat om het automatiseren van taken dan kan ik me hooguit voorstellen dat je een standaard format / instelling / logo in je wordpagina wil hebben maar dat kun je volgens mij gewoon afvangen met een template... :?
Zoals ik al zei ik ken genoeg bedrijven die gebruik maken van Word macro's voor bijv. templates, enz. Dat jij ze nog niet bent tegengekomen is prima, maar er zijn genoeg usercases bij te bedenken.
Inderdaad, bijvoorbeeld de koppeling aan een database.
Yes access apps enz...
Of mysql of sql server of postgres enz
bij handleidingen schrijven een macro die om ieder plaatje een border zet. Is deze usecase acceptabel? Hij staat hier boven, en ik heb hem niet zelf geschreven dus er zijn al 2 mensen op deze aardbol die macro's in word gebruiken.
Mmm ja maar het is ontieglijk irritant voor advanced users om als een digibeet behandeld te worden. Misschien tijd voor een speciale "Windows 10 Sukkel editie"? En een "Windows 10 Ik wil mijn computer kunnen verkloten omdat ik het waard ben editie".
mja, met de recente ransomware aanvallen in het achterhoofd en de gevolgen die het heeft gehad, lijkt het er op dat ervaren systeembeheerders ook niet in staat zijn om deze gevaren af te wenden. Denk even na voordat je iemand als sukkel bestempeld.
Waarom kunnen ze niet gewoon e-mail en office-programma's en browser standaard in een sandbox laten draaien? Dan heb je dit soort problemen toch helemaal niet meer?
Doet Microsoft al. Internet Explorer en Edge draaien in hun eigen sandbox met lage rechten. Als je een vreemd Office document opent dan start Word, Excel of PowerPoint in een speciale leesmodus waarin alle macro's e.d. uitgeschakeld zijn.
ja leesmodus, met een grote knop BEWERKEN/MACRO'S INSCHAKELEN....
Dus nog steeds geen sandbox! En IE en Edge draaien niet in een sandbox, maar zoals je zelf al aangeeft in een verlaagde rechten modus.

Sandboxing is iets waar MS nog steeds veel hekel aan heeft.
Net als de LSASS service als je credential guard activeert. De geruchten zijn, dat er in de toekomst nog veel meer applicaties in een sandbox terecht gaan komen. Er is dan wel een dependency naar client-HyperV. Dit betekent dat je bvb geen VMware workstation meer gaat kunnen gebruiken.

Wil je nu al gebruik maken van sandboxing voor de meeste van jouw applicaties, gebruik dan https://www.bromium.com/. Die mannen hebben ooit ge co-enganged met MS op een W10 conferentie. Weer een bewijs dat MS niet vies is van sandboxing.
Dat komt omdat Edge een UWP app is. IE is dat niet. Alle UWP apps draaien sandboxed.
I stand corrected :)
IE had ook al een sandbox. Zat er al in sinds IE7.

Kan een oudere source niet zo snel vinden, maar hier.
Er zijn elke keer weer nieuwe manieren om uit zo'n sandbox te ontsnappen; kijk maar naar de updates die er voor de verschillende pakketten elke keer weer zijn.

Je creeert dus wel een veiliger systeem, maar nog steeds niet waterdicht helaas.
Nee niet waterdicht, maar duidelijk een stuk meer secure dan anders. Of anders moeten we mensen maar verplichten om als een bestand buiten zijn programma om wijzigingen wil maken het systeem hier altijd toestemming(wachtwoord) voor moet worden (in)gegeven.
Dus 99% van de mensen heeft hier geen last van, want die doen alleen dingen binnen het programma.
Dit maakt dit soort grapjes toch al een stuk veiliger imho.
Veiliger zou zijn om de macro taal die Office gebruikt te ontdoen van de mogelijkheden om fysiek bestanden op je pc te benaderen.

Dat is namelijk nooit nodig tenzij je wazige dingen wilt uithalen met zo'n macro...

Dan los je het probleme op bij de bron, ipv te proberen een generieke oplossing te bouwen die alles moet kunnen tegen houden.
Veiliger zou zijn om de macro taal die Office gebruikt te ontdoen van de mogelijkheden om fysiek bestanden op je pc te benaderen.

Dat is namelijk nooit nodig tenzij je wazige dingen wilt uithalen met zo'n macro...
90% van de macro's die ik maak(m.n. in Excel) opent een bestand op de pc om gegevens in te vullen en vervolgens met een andere naam op te slaan.
Dan los je het probleme op bij de bron, ipv te proberen een generieke oplossing te bouwen die alles moet kunnen tegen houden.
Dat je veel te veel kan met macro's klopt, je kunt ook bij systeembestanden, functies uit dll's gebruiken, en via de scripting object en de windows script host kun je echt overal bij, tot aan registry, aan toe. Zelfs formatteren kan volgens mij vanuit een macro. In Windows 98 en in XP, waar iedereen admin was, waren er echt geen beperkingen. UAC houdt wel de ergste dingen tegen, maar dat beschermt niet de bestanden van de aangelogde gebruiker of gedeelde bestanden op het netwerk.
Bij de aankondigingen gaat het om vernieuwingen voor de zogenaamde Advanced Threat Protection van Windows Defender, die alleen voor Enterprise en Education-gebruikers beschikbaar is.
Bij sommige beslissingen van MS denk ik vaak: WAAROM DAN?
Zorg gewoon dat iedereen standaard even veilig is! We hebben het hier niet over een nieuwe versie van PAINT, we hebben het over de veiligheid van je systeem.
In de aankondiging stelt het Redmondse bedrijf dat Windows Defender Exploit Guard, zoals de software volledig heet, bijvoorbeeld in staat zal zijn om Word-documenten ervan te weerhouden om macro’s uit te voeren. Dat is een veelgebruikte techniek om malware te verspreiden door middel van phishingsmails met daarin kwaadaardige Word-bestanden.
Veel bedrijven hebben al een extra bescherming tegen geïnfecteerde bijlagen. Juist Truus van de hoek klikt alle documenten aan en wordt onderdeel van een bot-netwerk of ziet een paar uur later alle berichten encrypted.

[Reactie gewijzigd door nexhil op 28 juni 2017 09:35]

Bij sommige beslissingen van MS denk ik vaak: WAAROM DAN?
Zorg gewoon dat iedereen standaard even veilig is!
Dergelijke features worden ook geboden door een hoop anti-virus pakketten. Ik draai zelf Kaspersky en die heeft ook vergelijkbare systeem monitoring en anti-exploit features volgens de verpakking. Ik vermoed ook dat al die features meteen uit gaan als je een andere anti-virus installeert en Defender uitgezet wordt.
Bij MS krijgen ze nogal eens te horen dat Defender niet goed genoeg zou zijn. Nu tillen ze dat makkelijk te snappen, weinig resources vretende programma op een wat hoger niveau. Maar dan doen ze het allen voor bedrijven die vaak al oplossingen hebben en Scholieren die vaak al aan goedkopere software kunnen komen via school/opleiding. Bescherm dan tenminste de mensen die niet snel een euro (uit kunnen) uitgeven.
Emet, en vast zijn nieuwe versie ook, zijn nogal hoogdrempelige programmas die de nodige kennis vergen. Niet iedereen kan daar zomaar mee aan de slag. Defender is KISS en iedereen snapt dat programma. Die grenzen liggen dus nogal ver uiteen.
omdat anders alle AV leveranciers weer op hun achterste poten gaan staan vermoed ik
bij business is de keuze van een AV geleid door andere normen ( centraal beheer oa naast bescherming en functies ) maar voor home is dit alweer een ( op papier ) degelijk vervanger van een third party AV pakket waar steeds minder nood voor is
Gelukkig heeft Truus van de hoek tegenwoordig steeds vaker een iPad. Dit soort dreigingen zijn tegenwoordig gevaarlijker voor de Digibeet op kantoor.
Wat ik niet snap is dat ze dit soort technologie niet gewoon in alle versies stoppen. Juist beveiligingsfeatures horen voor alle windows 10 versies te gelden. Enterprise is alleen voor grote bedrijven bedoeld.
Ik draaide Emet als consument op mijn XP en Windows 7 machines. Na de overgang naar Windows 10 heb ik het niet meer geïnstalleerd, omdat MS had aangegeven dat deze functionaliteiten nu op de achterzijde in Windows 10 waren ingebouwd en de oude Emet beveiligingen waren te omzeilen.

Ik hoop dat er een functionaliteit beschikbaar kan komen voor consumenten zonder over te moeten stappen naar een voor mij niet noodzakelijke Enterprise versie van Windows 10. En ik wil Defender niet hebben, maar gewoon mijn eigen anti virus oplossingen en beveiligingen!
Dat hebben ze nooit beweerd, toen aangekondigd werd dat EMET stopte was de gegeven reden dan enkele features van EMET al geïntegreerd waren in Windows en dat meer zouden volgen, dit is eigenlijk geen nieuws, we weten nu gewoon dat Redstone 3 deze paar features bij krijgt.
http://www.zdnet.com/arti...met-anti-zero-day-shield/
https://blogs.technet.mic...ion-5-5-is-now-available/

Ze hebben wel degelijk beweerd dat EMET niet nodig was voor Windows 10, juist vanwege het integreren van enkele features in W10, zoals jij al zegt.
MS wou EMET onderdeel maken van Windows 7. Is niet gebeurd omdat het destijds te veel oude software zou slopen.

Op dit item kan niet meer gereageerd worden.


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*