Windows 10 krijgt ransomware-verweer

Build 16232 van Windows 10 bevat een nieuwe manier om de effectiviteit van ransomware te dwarsbomen. Om data te versleutelen heeft de malware schrijfrechten nodig in de mappen waarin de gegevens zijn opgeslagen. Microsoft bouwde al jaren geleden de mogelijkheid in het Windows-besturingssysteem om een pc met verschillend gebruikers te delen. Om dat medegebruik veilig te maken kan de ene gebruiker de data van een een andere gebruiker niet aanpassen tenzij daar expliciet toestemming voor is gegeven.

Dat principe heeft Microsoft nu doorgetrokken als extra beveiligingswal tegen ransomware en andere malware. Om data te versleutelen moet de ransomware immers toegang hebben tot de data en deze kunnen veranderen. Windows 10 krijgt nu een nieuwe versie van Windows Defender ingebouwd die alleen nog vertrouwde applicaties toestemming geeft om data in bepaalde beveiligde mappen te veranderen. Wat een vertrouwde applicatie is wordt bijgehouden in een whitelist. Microsoft levert Windows 10 met een gevulde whitelist om gebruikers niet te irriteren. Welke applicaties daarin staan is nog niet duidelijk. Vermoedelijk gaat het om alle applicaties in de Windows Store.

Whitelist bepaalt toegang

Het resultaat is dat wanneer Word een tekstbestand wil openen, dit zonder problemen lukt. Wordt een applicatie gebruikt die niet in de whitelist staat, volgt een onmiddellijke blokkade door Windows Defender en een melding aan de gebruiker. Die kan dan alsnog de applicatie toevoegen aan de whitelist.

Hoe sterk deze vorm van beveiliging is, valt nog te bezien. Zo moet Defender ook kwaadaardige add-ons kunnen herkennen die actief zijn in programma's die op de whitelist voorkomen, of bijvoorbeeld kwaadaardige macro's in Excel.