Come Get IT EXTRA - De Citrix ADC Exploit
Het was groot nieuws, de “Citrix Servers” waren gehackt of waren ineens makkelijk te hacken door kwaadwillenden. Na een waarschuwing van het Nationaal Cyber Security Centrum (NCSC) over een lek in de Citrix ADC’s (ook wel bekend als Netscalers) en het opvolgende advies deze volledig uit te zetten, inclusief alle remote verbindingen, stond Nederland vol met files en was dit nieuws dagenlang trending in de nieuwsbulletins en op sociale media.
Wij hebben gesproken met Martijn Moorman en Andor Klink van Avensus waarbij we terug kijken op dit recente voorval.
Wat was er nou precies aan de hand, hoe is Citrix hiermee omgegaan en wat was de rol van het NCSC en de media in dit verhaal?
We proberen in een half uur de nuances te scheiden van de waan van de dag door kernachtig terug te blikken met onze twee gasten.
Artikelen/bronnen ADC Exploit:
- Interview Fermin Cerna Ciso Citrix
- Aflevering Nieuwsuur met Jeroen van Rotterdam VP Citrix
- Citrix artikel over de exploit en de te nemen maatregelen
- Blog van Citrix over de forensic tool. (Om op de ADC te draaien en te detecteren of deze gecompromitteerd is)
- Link naar de daadwerkelijke forensic tool
- Cisa tool om van buiten te testen of je ADC of Gateway nog kwetsbaar is
- NCSC Advisories ADC vulnerabilities
EXTRA Podcast: Terugblik Microsoft Ignite 2019
Microsoft Ignite is een jaarlijkse conferentie voor ontwikkelaars en IT-professionals gehost door Microsoft. De eerste conferentie, toen bekend als TechEd, vond plaats in 1993 in Orlando, Florida. De naam Microsoft Ignite is vanaf 2015 geintroduceerd en dit jaar werd de cconferentie in Atlanta gehouden. Wij konden er helaas niet bij zijn maar we blikken terug met twee leuke gasten.
De eerste gast, Maarten Eekels, is inmiddels een bekend gezicht bij de CGIT Podcast en aangezien hij dit jaar op Ignite één van de sprekers was hebben we hem weer uitgenodigd om daarover te vertellen en terug te blikken.
Hij doet dit met onze andere gast Erwin Derksen. Erwin is eerder dit jaar ook al een keer te horen geweest tijdens ons verslag van Experts Live! en is (spoiler alert) ook te gast in onze volgende reguliere podcast (nummer 11) waarin de Active Directory het centrale thema wordt.
Kortom, twee uitstekende gasten om terug te blikken op Microsoft Ignite 2019 wat we gaan doen in deze lekker lange en bomvolle CGIT Podcast Extra!
EXTRA Podcast: Infosecurity 2019
Uw razende CGIT-Reporters zijn weer op pad geweest, dit keer naar de Infosecurity beurs 2019!
De Infosecurity.nl, Data & Cloud Expo zoals de beurs officieel heet is één van de grootste vakbeurzen op ICT-gebied in Nederland waar de grote spelers samen komen om zich te presenteren met de focus op onder meer security.
De sfeer op de beurs is altijd uitgelaten en mede daardoor is het voor mij en Martijn elk jaar weer een klein feest terug te keren. Gewapend met de microfoon hebben we de nodige break-out sessies bijgewoond en sfeer geproefd op de beursvloer en aanwezige stands.
In deze aflevering komen aan het woord:
- Bert Hubert – Founder PowerDNS en ‘Geeky Entrepeneur’
- Michael van der Vaart - Chief Technology Officer ESET
- Axel van Drongelen – General Manager Egress Software Technologies
- Eddy Willems – Security Evangelist G DATA CyberDefense
- Wim Hafkamp - Manager Advisory Services / Deputy Head NCSC
Leve de Allrounders!
Het is tegenwoordig verleidelijk om als IT’er een specialisme te kiezen. Bedrijven en opleidingen duwen hun werknemers en studenten dan ook zachtjes in die richting. ‘Allrounder’ en ‘generalist’ zijn bijna vieze woorden geworden. Dat terwijl we juist deze mensen ook nodig hebben.
Ik ben jaren geleden bij een bedrijf begonnen waar direct gezegd werd: “Jullie waren generalisten, maar vanaf nu worden jullie IT-specialisten.” De bedoeling was dus dat we allemaal in een specialisme, een keurslijf geduwd werden, zonder dat we hier zelf om gevraagd hadden.
Dat is tegenwoordig een trend. In mijn werkzaamheden zie ik dat er steeds meer specialisten zijn die zich op specifieke diensten en onderdelen van IT richten. Er zijn IT’ers die zich bijvoorbeeld alleen maar met Exchange bezighouden, of alleen maar met Office 2019, afgezien van de ‘klassieke’ specialisaties zoals storage en networking.
Ik zie dit fenomeen ook in het dagelijks leven en dan met name bij jonge mensen.
Al op vroege leeftijd wordt er aangdrongen zich te specialiseren en zich voor te bereiden op een beroepskeuze terwijl veel en wellicht zelfs de meeste jongeren hier nog niet mee bezig zijn, laat staan klaar voor zijn.
Laat het duidelijk zijn, een specialist is ontzettend waardevol. Ik ben soms best wel jaloers op de mensen naast me die in detail zoveel meer weten en kunnen met het onderwerp waarmee ze bezig zijn maar ik merk ook dat specialisten met hun eigen valkuilen komen
Hoe steekt alles in elkaar?
Wat ik namelijk zie is dat er mensen zijn die zo gespecialiseerd zijn, dat ze het overzicht missen. Ze weten bij wijze van spreken niet wat er bij je buurman op kantoor gebeurt. Dat is niet erg als een probleem zich beperkt tot jouw specialisme maar dat is niet altijd het geval.
Een probleem kan ontstaan door een kapotte schakel in een serie van diensten en processen. Ben jij alleen maar bezig met Exchange en ligt de oorzaak van een probleem rondom Exchange ergens anders? Dan is de kans groot dat je het niet vindt. Je bestrijdt dan symptomen, maar niet het onderliggende probleem.
Het is voor bedrijven dus belangrijk dat er ook iemand aanwezig is die bredere kennis heeft en weet hoe dingen in elkaar haken, met name tijdens het uitvoeren van projecten of het oplossen van complexe issues. Dat kan best een specialist zijn. Iemand die net als ik ooit onderaan de ladder is begonnen, doet onderweg veel kennis op. Ook al gaat diegene zich – net als ik – later specialiseren, dan blijft die brede kennis behouden.
Er is balans nodig
Betekent dit dat de specialist moet verdwijnen? Zeker niet. Specialisten hebben ontzettend veel voordelen dankzij hun diepgaande kennis over één onderwerp. Zij zien problemen binnen hun eigen gebied die een ander nooit zou zien, omdat diegene niet weet waar je moet zoeken.
Een specialist zal het echter het onderliggende probleem van de symptomen die hij ziet niet snel vinden als dat probleem zich buiten zijn werkveld bevindt. Dat is waar je een allrounder voor nodig hebt, die de verbanden ziet en weet hoe alles in elkaar steekt. Kortom: je hebt een balans tussen die twee nodig.
‘Allrounder’ en ‘generalist’ zijn dus geen vieze woorden. Want wie zoek je als je een pro-troubleshooter nodig hebt? De allrounder!
Bye Bye Skype for Business Online, Hello Microsoft Teams!
De kogel is door de kerk; Microsoft neemt per 31 juli 2021 afscheid van Skype for Business Online (SfB). Daarmee is de stap om Microsoft Teams te positioneren als de belangrijkste communicatieapplicatie binnen het Office 365-landschap een feit. De samenvoeging van de Skype for Business Online-componenten in Microsoft Teams heeft ervoor gezorgd dat de mogelijkheden van de aparte Skype for Business Online-applicatie straks achterhaald zijn.
Het was sinds augustus 2018 al niet meer mogelijk om het “standalone” P1-abonnement van Skype for Business Online af te nemen. Sinds 1 juli jongstleden is ook de P2-variant van het abonnement niet langer beschikbaar. Vanaf 1 september 2019 kunnen gebruikers bovendien niet langer geactiveerd worden in Skype for Business Online, maar gebeurt dit standaard in Microsoft Teams. De optie om gebruikers aan SfB toe te voegen is voor nieuwe Office 365-omgevingen ook niet meer mogelijk. Bestaande Office 365-omgevingen waar Skype for Business Online gebruikt wordt, behouden de optie nog wel.
Roadmap
Er staan nog wel een aantal veranderingen in de roadmap om ervoor te zorgen dat Microsoft Teams alle functionaliteiten kan bieden die gebruikers nu gewend zijn van Skype for Business Online.
Gebruikers klagen tot nu toe namelijk veel dat er nog mogelijkheden in Microsoft Teams ontbreken, die wel in Skype for Business aanwezig zijn. Denk hierbij aan de mogelijkheden om te chatten met contacten die gebruik maken van de consumentenversie van Skype en de beschikbaarheidsindicator binnen de andere diensten en producten, zoals Outlook en SharePoint, die nu nog gevoed wordt vanuit Skype.
Aanpassingen
Bedrijven moeten op het gebied van telefonie wijzigingen doorvoeren op de eventuele lokale hardware - mocht hier gebruik van worden gemaakt - om mee te kunnen met de overstap naar Microsoft Teams.
Dit kan betekenen dat er wijzigingen nodig zijn in de “Session Border Controller” en eventueel in de firewall, als er gebruik gemaakt wordt van IP range-uitsluitingen. Zoals het er nu uitziet, wordt bij het overschakelen van Skype for Business Online naar Microsoft Teams op de backend van Microsoft alle parameters automatisch aangepast. Toch is een gedegen migratieplan en een OTAP-omgeving waar je de mogelijkheden in kunt testen, onmisbaar voor een verandering als deze.
De On-Premises Skype for Business server wordt vooralsnog nog niet afgeschreven maar je kunt er vanuit gaan dat ook hier (zeer) binnenkort het een en ander staat te gebeuren.
Uitdaging
Naast de technische veranderingen die dit met zich mee brengt, staat je organisatie wellicht ook voor een uitdaging op het gebied van adoptie om Microsoft Teams intern in te zetten. Hoe pak je dit het beste aan en welke middelen kun je hiervoor gebruiken? Microsoft Teams bevat namelijk veel meer mogelijkheden en dit kan zowel voor als tegen je werken.
Mocht je interesse hebben om meer te leren over Microsoft Teams, laat het weten via onze website en socials!
Podcast aflevering 8 - Gaming en IT
Welke cloud diensten zijn de bedrijven Google en Microsoft aan het bouwen die gaan meeliften op de grootste entertainment industrie vandaag de dag?
We hebben het hier niet over films maar over gaming. Sander en Xander hebben zich verdiept in de diensten Stadia en Project xCloud en op welke technologieën deze diensten zijn gebaseerd. Is dit nou helemaal nieuw of kennen we de concepten al een tijdje uit de zakelijke wereld?
Luister mee en ontdek de link tussen IT en Gaming.
Het belang van Server Hardening
Voorkom aanvallen als NotPetya en Stuxnet
De wereld is de afgelopen jaren meermaals opgeschrikt door ernstige cyberdreigingen. Twee daarvan waren Stuxnet en NotPetya. Deze vormen van malware wisten veel schade aan te richten, mede door een gebrek aan server hardening.
Stuxnet werd in 2010 ontdekt en is een malafide computerworm. De worm kon zich verspreiden dankzij een (toen al bekende) kwetsbaarheid in de printer spooler service op Windows servers die het doelwit waren van de aanval. Die service was in de meeste gevallen niet noodzakelijk, het waren immers geen printservers maar systemen die onder meer werden ingezet in het proces om uranium te verrijken.
Uiteindelijk werden 200.000 computers getroffen door Stuxnet. Was de spooler service niet aanwezig geweest op deze systemen, dan was dit aantal waarschijnlijk lager geweest.
NotPetya is een recentere aanval. Deze malware, gebaseerd op de ourdere ransomware variant Petya, sloeg in 2017 om zich heen, en dan met name in Oekraïne. Volgens een schatting van het Witte Huis wist deze aanval in totaal 10 miljard dollar aan schade aan te richten bij zijn slachtoffers.
Ook NotPetya had voorkomen kunnen worden (of de impact had kleiner kunnen zijn) als er geen misbruik gemaakt had kunnen worden van het SMB1-protocol. Dit protocol werd in 1983 ontworpen en onder andere door Windows ’95 gebruikt voor het delen van bestanden. Het protocol is logischerwijs flink verouderd maar op veel getroffen servers werd het nog toegestaan, terwijl het al lang niet meer nodig is en al enige tijd als onveilig wordt bestempeld.
Server hardening
Beide aanvallen hadden dus voorkomen kunnen worden als er server hardening plaats had gevonden. Server hardening is het proces waarbij onnodige zaken als software, services, serverrollen en dergelijke zo veel mogelijk worden uitgeschakeld om zo het aanval “oppervlak” zo klein mogelijk te maken en te houden.
Bekende maatregelen zijn het installeren van updates en het inzetten van een gedegen beveiliging beleid, bijvoorbeeld rondom wachtwoorden. Maar diverse andere maatregelen blijken minder bekend of worden vergeten. Het uitzetten van ongebruikte en onnodige functies, services en rollen - zoals het SMB-protocol of de print spooler service in het geval van NotPetya en Stuxnet - behoren hier ook toe.
Daarnaast kan een server beschermd worden door administrator-accounts restricties te geven. Het is bijvoorbeeld vrij gemakkelijk om op een Active Directory-account in te stellen tussen welke tijden iemand in mag loggen. Een hele simpele maatregel om ongeautoriseerde actoren beter buiten de deur te houden.
Een geavanceerdere maatregel is het gebruik van Group Managed Service Accounts voor het beheer van Service Accounts. Een specifiek account dat wordt ingezet ten behoeve van specifieke services en/of applicaties. De wachtwoorden voor deze accounts worden beheerd door Active Directory Domain Services waardoor jij niet hoeft na te denken over wanneer een Service Account toe is aan een nieuw wachtwoord, iets wat in de praktijk vaak vergeten of lastig gevonden wordt.
Een nadeel van dit alles is wel dat het veiliger maken van een systeem in de praktijk vaak ten koste gaat van bepaalde functionaliteit of de snelheid waarmee een systeem reageert. Ook kan het andere beperkingen met zich meebrengen - bijvoorbeeld het gebrek aan de optie om vanaf bepaalde locaties in te loggen. Iets om rekening mee te houden.
Aanvallen vanaf de werkvloer
Wat nog wel eens over het hoofd wordt gezien is een fysieke aanval in plaats van een aanval via het internet. Uiteraard moet iemand daarvoor wel fysiek aanwezig zijn maar ook dat is niet ongewoon. In het geval van Stuxnet werd de malware onder andere in de beoogde omgeving geïntroduceerd via een geïnfecteerde USB-stick. Een apparaat hoeft dus niet eens met het internet verbonden te zijn om gevaar te lopen.
Het kan daarom ook verstandig kan zijn om de BIOS af te schermen met een wachtwoord. Staat iemand dan bij een server met de intentie om in te breken dan wordt het, met (wederom) een simpele ingreep op z’n minst moeilijker gemaakt de controle over het system te krijgen.
In mijn werk zie ik vaak dat vergeten wordt om gastaccounts uit te schakelen, zowel op servers als op werkstations. Deze accounts vereisen geen wachtwoord om in te loggen wat betekent dat iemand vrij gemakkelijk op het systeem en het netwerk kan komen. Aangezien gastaccounts een integraal onderdeel zijn van Windows 7 en Windows Server 2008, beiden nog veel gebruikt in productieomgevingen, blijft dit een punt van aandacht.
Zo zijn er nog talloze andere maatregelen die je kunt nemen als onderdeel van server hardening. Voor het gemak heeft Microsoft een security baseline opgezet en ook CIS benchmarks heeft een zeer nuttige en waardevolle collectie benchmarks met daarin een reeks configuratie-instellingen die een positieve impact hebben op de beveiliging van je infrastructuur. Deze worden allemaal gratis ter beschikking gesteld dus doe er je voordeel mee!
Verslag Microsoft Ignite the Tour Amsterdam
De nieuwe oplossingen van Microsoft: waarom heeft niemand dit eerder bedacht?
Samen met mijn collega’s was ik dit jaar aanwezig op Microsoft Ignite The Tour 2019, gehouden op 20 en 21 maart in Amsterdam. Helaas was ik niet in staat om beide dagen aanwezig te zijn, waardoor ik de presentatie over de Windows Virtual Desktop op donderdag heb moeten missen. Mijn collega Bas van Kaam heeft hier eerder al uitgebreid over geschreven. Gelukkig was er op woensdag wel genoeg te zien en horen wat dat mij de oren deed spitsen.
Azure Sentinel
Eén van die onderwerpen is Azure Sentinel, de eerste SIEM-oplossing van Microsoft, inclusief een directe integratie met Azure. Met deze oplossing wordt machine deep learning ingezet om risico’s en bedreigingen op te sporen en te analyseren binnen je omgeving en te stoppen voor ze voor serieuze schade zorgen.
Door de schaalbaarheid van de Azure Cloud heeft Azure Sentinel, in ieder geval in theorie, altijd een enorme berg rekenkracht tot zijn beschikking (en dus voor de klant). Daarmee is het in één klap een serieuze speler op de markt en het is bovendien interessant dat de oplossing niet ophoudt bij Azure. Je kunt Azure Sentinel namelijk ook on-premises inzetten wat het nog aantrekkelijker maakt voor organisaties.
Azure Sentinel is op dit moment een jaar lang gratis te gebruiken voor klanten met een Azure-abonnement.
Azure File Sync
Minstens net zo interessant is Azure File Sync dat bestanden van je on-premises Windows file-server repliceert naar een Azure file share (zonder dat hiervoor een daadwerkelijke File Server ingericht hoeft te worden, in tegenstelling tot on-premises). Daardoor hoeft er niet langer gekozen te worden tussen de voordelen van de Cloud en de voordelen van de on-premises file-server maar kun je van beide gebruik maken. Natuurlijk is deze dienst volledig geïntegreerd in Azure, waardoor de ervaring vrij naadloos kan verlopen.
Deze dienst is echter ook te gebruiken als back-up- en disaster recovery-oplossing. Daarbij heeft het als voordeel dat het na een eerste volledige synchronisatie naar de Azure Cloud het alleen ‘hot files’ synchroniseert.
Staan er na de synchronisatie bestanden binnen jouw organisatie die niet of nauwelijks gebruikt worden, dan worden die in eerste instantie met rust gelaten. Alleen de bestanden die vaak gebruikt worden, worden ook gesynchroniseerd. Dat heeft als voordeel dat er minder dataverkeer plaatsvind, wat kosten kan besparen.
Wel heeft Azure File Sync één nadeel: er is nog geen Linux-ondersteuning. Voor organisaties echter die met Windows Sever file-servers werken (end at zijn er nogal wat, zeker in het MKB) is dit naar mijn mening zeker een oplossing die het overwegen waard is.
Azure Cloud Shell
Er zijn van die oplossingen waarbij je tijdens de aankondiging denkt: “Waarom heeft niemand dit eerder bedacht?” Azure Cloud shell is voor mijn zo’n oplossing. Met Cloud Shell kun je in een browser een command-sessie starten voor een Cloud omgeving waarin je onderhoud of beheer wil uitvoeren zonder dat je daar een aparte remote PowerShell-sessie voor hoeft op te zetten. Dat is wat mij betreft gewoon fantastisch.
Verder is het mogelijk om met meerdere programmeertalen te werken, dus niet alleen met PowerShell. Je kunt ook met onder meer Bash, .NET en Python aan de gang waardoor je meerdere platformen kunt bedienen
Bij het eerste gebruik vraagt Azure Cloud Shell bovendien om een file share aan te maken in Azure Files - of om een bestaande te koppelen - om je data te behouden in meerdere sessies. Azure Cloud Shell koppelt die file share dan weer automatisch bij volgende sessies. Dit is bijvoorbeeld handig als je van bestanden gebruik maakt die je nodig hebt om commando’s uit te voeren. Die kun je bij iedere sessie er direct weer bij pakken, zonder dat je weer opnieuw verbinding moet maken.
Cloud Shell lijkt daarmee de volgende stap te zijn in het volwassen worden van het managen van Clouddiensten via de command line.
Secure Score
Tot slot viel Secure Score mij op tijdens die woensdag in maart. Deze dienst is niet nieuw maar naar mijn mening misschien wel nog wat onderbelicht. Secure Score biedt de Office 365-beheerder een hele makkelijke manier om de beveiliging (score) van je organisatie te visualiseren.
Op basis van de berekende score geeft het ook een aantal suggesties om die score te verhogen, denk hierbij bijvoorbeeld aan een indicatie of Multi-Factor Authentication voor (privileged) accounts is aangezet. Hoe hoger de score, hoe beter je beveiliging is. Grafisch wordt duidelijk weergegeven wat je moet doen om een bepaalde baseline van beveiliging te creëren en te behouden. Op die manier krijg je heel eenvoudig veel, en snel inzicht.
Op de roadmap voor Secure Score staan voor de (nabije) toekomst integratie met Windows Defender ATP’s Threat and Vulnerability Management en een verder verbeterde layout die het voor zowel beheerders als security professionals makkelijker maakt hun Azure Cloud omgeving goed beveiligd te houden.
Op naar de volgende Ignite!
Tech-Sessie Carbonite bij SBC Solutions
Na een lange en warme zomer was het donderdag 13 september weer tijd om van start te gaan met de SBC tech-sessies. Voor de eerste tech-sessie na de zomer was Carbonite, in de persoon van Martin Pesa, te gast om te vertellen over de producten die Carbonite in haar portfolio heeft.
Carbonite begon in 2005 als antwoord op de vraag: "Waarom kan er geen gemakkelijke en betaalbare manier zijn om online een back-up van bestanden te maken?" Carbonite is opgericht als een bedrijf dat voornamelijk thuis- en kleinzakelijke gebruikers bedient en beschermt nu gegevens voor meer dan 1,5 miljoen klanten en organisaties.
Begin 2016 nam Carbonite EVault over en deze overname breidde het gegevensbeschermingsportfolio van Carbonite uit met hybride back-up- en noodhersteldiensten voor grotere bedrijven.
Een jaar later breidde Carbonite zich uit naar oplossingen van op enterprise-gebied met de overname van Double-Take Software en het toevoegen van hun portfolio aan de services voor High Availability en datamigratie.
Carbonite Server
De avond begon met een korte presentatie door Martin Pesa over Carbonite en de verschillende oplossingen die aanbieden op het gebied van backup en High Availability.
Ransomware. Menselijke fouten. Hardware storingen. De lijst van bedreigingen voor bedrijfsgegevens en -systemen is eindeloos.
Carbonite Server is een backup oplossing voor fysieke, virtuele en legacy-systemen en Martin Pesa heeft met veel enthousiasme en een goede dosis humor de punten laten zien waarin Carbonite Server zich onderscheidt van andere oplossingen in de markt.
Met name de mogelijkheid om backups in de cloud te bewaren en hiermee het risico op dataverlies enorm te verminderen sprong daarbij in het oog.
Carbonite Move
Iedereen die bekend is met virtualisatie, is bekend met het begrip High Availability.
Echter zal dit voor de meesten ook voorbehouden zijn voor een virtuele omgeving, welke hypervisor je hiervoor ook kiest.
Carbonite Move is wat betreft de uitzondering op de regel.
Fysieke systemen, die vaak kritiek zijn binnen een organisatie, worden vaak buiten een rampenplan gehouden. Om ervoor te zorgen dat deze servers worden beschermd en beschikbaar blijven, kan Carbonite Move zowel Windows- als Linux-servers repliceren naar elke doelomgeving wenselijk: fysiek, virtueel of cloud.
In geval van een storing is het mogelijk om in enkele minuten of seconden handmatig of automatisch een failover naar de secundaire server te starten waarbij het herstelpunt actueel kan zijn of juist het systeem wordt teruggezet naar een eerder punt vóórdat er een storing of infectie optrad. Al met al geen nieuwe technologie maar wel onderscheidend in de oplossing die Carbonite hiermee biedt.
Het was wederom een leuke en leerzame avond, mede gezien de reacties van de SBC collega’s.
Meer weten over Carbonite en de verschillende oplossingen die zij bieden?
https://www.carbonite.com/products/carbonite-products/
Windows Defender wordt volwassen met Advanced Threat Protection
Virusscanners; sinds jaar en dag een noodzakelijk kwaad en waarschijnlijk het eerste stukje software wat iedereen, zowel zakelijk als privé, op zijn/haar laptop installeert.
McAfee EPO is een oplossing die in de zakelijke markt vaak wordt toegepast maar is op z'n zachtst gezegd roemrucht te noemen, niet in de laatste plaats door de (negatieve) opmerkingen van oprichter John McAfee over dit softwarepakket. Het voordeel aan McAfee EPO in ieder geval de mogelijkheid om de endpoint protection centraal te beheren.
Microsoft begeeft sinds Windows XP zich op het antivirus/malware toneel en in de jaren heeft Microsoft haar Windows Defender flink verbeterd, waardoor het nu een interessante virusscanner is voor persoonlijk en zakelijk gebruik.
Windows Defender Advanced Threat Protection
Waar eerst het beheer van Windows Defender lastig was is dit met de introductie van Windows Defender Advanced Threat Protection, af te nemen als een SAAS cloud dienst, ook sterk verbeterd. Zoals bij alle cloud-diensten hoeft er niets geïnstalleerd of geconfigureerd te worden en er hoeft geen infrastructuur voor te worden aangeschaft. Je neemt het dus af als een service wat zeer veel voordelen met zich meebrengt.
Attack Surface Reduction
Een van de dingen die de verbeterde Windows Defender zo interessant maakt is Attack Surface Reduction. Op zich geen nieuwe techniek maar verder uitgewerkt door Microsoft. Hiermee wordt het oppervlak wat aangevallen kan worden beperkt en wordt de kans kleiner dat apparaten in je netwerk geïnfecteerd worden met malware.
De functie kun je bovendien instellen met group policies, wat het voor een beheerder wel zo eenvoudig maakt. Zo kun je ervoor kiezen om macro’s automatisch uit te schakelen voor een gebruiker of een aantal gebruikers. En voor andere afdelingen - die met macro’s moeten werken - kun je ze laten monitoren, mocht er malware via binnenkomen.
Ook interessant is de toevoeging van technieken uit de voormalige Enhanced Mitigation Toolkit aan Windows Defender. Hiermee wordt direct zichtbaar of een website, waar je gevoelige informatie moet opgeven, betrouwbaar is. Malafide websites worden zo direct afgevangen.
Ransomware
Ransomware is ook een steeds groter probleem aan het worden en ook daar springt Windows Defender goed op in. Dit doen ze met Controlled folder access.
Met deze functie kun je de documenten in je netwerk beschermen. Het programma kijkt daarbij steeds of iemand probeert een update uit te voeren voor deze map. In veel gevallen ben je dat zelf, bijvoorbeeld door een bestand aan te maken, wat de software ook toestaat.
In het geval van ransomware, waarbij je bestanden en soms je hele computer vergrendeld wordt, ziet Windows Defender dat ook. Daardoor is de kans kleiner dat je het slachtoffer wordt van ransomware. Hiermee maakt Microsoft gebruik van de kracht van Windows zelf wat per definitie een voorsprong op de concurrentie met zich meebrengt.