Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Preventie gegevensuitvoering DEP/windows10-64bit, wie heeft ervaring

15-05-2016, 11:46 door ton64, 10 reacties
Geachte lezers, wie van u heeft ervaring met DEP. Wat is de gebruikswaarde en nut voor een oppervlakige Internet gebruiker? Zie voor DEP oa onder W10 informatieblad met onderwerp: Enable, Disable DEP middels "bcdedit.ex.tool".

Zie ook via: Systeemherstel> systeemeigenschappen>geavanceerd> prestaties (zie instellingen)> instellingen voor prestaties> PREVENTIE VAN GEGEVENSUITVOERING DEP.

Ben mede geinteresserd in werkzaamheid relatie tot EMET 5.5 (eventueel) en AV-scanner(s) anders dan Windows Defender.
Reacties (10)
15-05-2016, 11:53 door Anoniem
Ik heb hier interessante dingen over gelezen: http://bfy.tw/5lpX
Sluit precies aan bij je vraag.
15-05-2016, 19:25 door Anoniem
Door Anoniem: Ik heb hier interessante dingen over gelezen: http://bfy.tw/5lpX
Sluit precies aan bij je vraag.
Jammer.
https://www.security.nl/posting/38202/9%25+verkorte+URL%27s+wijst+naar+verdachte+sites
Waarom dan toch verkorte links gebruiken op deze website?
En dat als anonieme reageerder...
16-05-2016, 09:25 door Anoniem
Ik heb DEP ingeschakeld direct na Win 10 x64 installatie, in de hoop voor meer veiligheid. Niks geen issues ofzo opgemerkt, alles werkt nog lekker snel.
16-05-2016, 10:52 door Anoniem
Wellicht is volgende info nuttig: zie rechtsboven via ZOEKEN: DEP en vindt o.a.: ""Nederlander kraakt Windows DEP-beveiliging, dinsdag 2 maart 2010"". Het betreft vermoedelijk Windows 7- 32 bit systeem.

Ik kende de instelling DEP niet en vindt via Windows info het volgende: Software-enforced DEP performs additional checks on exception handling mechanisms in Windows. If the program’s image files are built with Safe Structured Exception Handling (SafeSEH), software-enforced DEP ensures that before an exception is dispatched, the exception handler is registered in the function table located within the image file.

If the program’s image files are not built with SafeSEH, software-enforced DEP ensures that before an exception is dispatched, the exception handler is located within a memory region marked as executable.
16-05-2016, 11:29 door Anoniem
Om EMET effectief in te zetten en te kunnen troubleshooten heb je wel wat meer kennis nodig dan je bezit. Ik zou eerst EMET in het Engels gebruiken (ivm het Googlen) en me vervolgens eerst eens flink gaan inlezen als ik jou was :)

DEP is zeker zinvol, maar met name in combinatie met de andere opties die EMET biedt. Wel kan het incompatible zijn met (hele) oude of moderne-maar-brakke software. DEP mitigeert een bepaald misbruik-scenario, maar dat maakt het uiteraard niet automagisch 100% waterdicht, zat aanvalsscenarios over.
16-05-2016, 16:23 door Anoniem
ADVIES: zoek (rechtsboven in corner) of met Google via: Hoe DEP (Data Execution Prevention) te configureren?
23-08-2010, 13:33 door Joey van Hummel, 12 reacties.

Info tav hardware en software matige aanpak.
Tevens veel nuttige aanwijzingen en ervaringen.
O.a. van Spiff (die regelmatig veel nuttige informatie levert aan community).

Zelf heb ik alleen de software matige aanpak maar dat reageert niet. Moet eea via administrator uitvoeren.
16-05-2016, 17:48 door Anoniem
Ben geen praktijkdeskundige op dit gebied, maar het lijkt me niet zo vreselijk moeilijk:

Iedere computer werkt met geheugen.
Grofweg kan werkgeheugen twee functies hebben:

1. Om (tussentijdse) data in op te slaan gedurende het programmaverloop
2. Om programma's (instructiecode) in op te slaan.
Als "derde functie" heb je ook nog ongebruikt, "vrij" geheugen ("HEAP")
Dat kan normaalgesproken nog voor beide functies worden gebruikt.
Maar met DEP geactiveerd op de HEAP en bekend datagebied, kan dit alleen nog maar voor data worden gebruikt,
en kunnen in die met DEP beveiligde gebieden dus geen instructies worden uitgevoerd.

DEP betekent "Data Execution Prevention".
Het zorgt ervoor dat bepaalde geheugengebieden niet zomaar door instructiecode kan worden gebruikt.

Stel je maar voor: een aanvaller heeft meestal als doel om zijn malware programma in jouw werkgeheugen
te krijgen met de bedoeling om zijn malware programma daarin uit te voeren.
Hij verzint en probeert hier allerlei truuks voor uit.
Als jij echter zoveel mogelijk geheugen beschermt met DEP, dan wordt het voor een aanvaller moeilijker
om ergens zijn programmaatje kwijt te kunnen én uit te voeren zonder dat jij het in de gaten hebt.
Plant hij het nl. in geheugenruimte die beveiligd is met DEP, dan wordt er niets uitgevoerd, maar krijg
jij een melding dat er is geprobeerd om programmatuur in DEP-beveiligde geheugenruimte uit te voeren.

Er bestaat hardware DEP en sofware DEP.
Van software DEP wordt wel eens gezegd dat het geen echte DEP is: de functie van software DEP is beperkt.
De software moet op DEP afgestemd zijn, anders kun je valse foutmeldingen krijgen.

Met de bcdedit tool kan je instellen of DEP direct bij het booten al aan moet staan of niet.
Met EMET of met Edge(IE11) in W10 kan je als je wil DEP ook per programma aan of uitzetten.

DEP is niet onaantastbaar: hackers hebben truukjes bedacht om het te omzeilen.
Maar het is een onderdeeltje van je totaalschild om aanvallers zoveel mogelijk te weren.
In combinatie met andere afweer maak je het de meeste aanvallers dan toch wel erg lastig.

Je kan DEP dus per gebruikt programma aan of uitzetten.
Het beste kan je volgens mij DEP overal zoveel mogelijk aanzetten, tenzij je steeds foutmeldingen krijgt
van dat programma. In dat geval is er in dat programma mogelijk geen rekening gehouden met DEP.
Ook als al via betrouwbare bronnen al bekend is dat bepaalde programma's niet goed werken met DEP laat je DEP uit.
Je hebt dan de keuze:
- een update zoeken van dat programma of een alternatief programma kiezen dat wél rekening houdt met DEP,
- DEP voor dat specifieke programma uitzetten en de kwetsbaarheid accepteren
- of het betreffende programma dat niet compatible blijkt met DEP helemaal niet meer gebruiken

EMET 5.5 biedt behalve software DEP die W10 van zichzelf ook al heeft nog een aantal andere veiligheidsopties
waar Windows 10 van zou kunnen profiteren. Maar het gaat te ver om hier nu dieper op in te gaan.
Ik zou zeggen: doe moeite om het zelf stukje bij beetje uit te zoeken met behulp van een
EMET handleiding en zoeken op internet. Dat moet ik ook.

GH
16-05-2016, 18:27 door ton64
Geachte lezers, hierbij nuttige achtergrond info t.a.v. hoe uw systeem functioneert in relatie tot DEP.

Ga naar (stel) google en typ: How to confirm that hardware DEP is working in (my) Windows.

U vindt o.a op de Windows support met "How to determine that hardware DEP is available and configured on your computer" een overzicht die u meer inzicht/informatie geeft over de instellingen/mogelijkheden van uw systeem.

Eventueel ook via: https://support.microsoft.com/en-us/kb/912923

Boeiend en nuttig is ook "Test programma voor Windows Management Instrumentation met o.a. IWbemServices (vereist kennis en/of veel lef =>succes gewenst).
16-05-2016, 19:52 door Anoniem
Ik kan je ook sterk aanraden om een 64 bits versie van windows te gebruiken, daar is DEP en vooral ASLR effectiever (het zoekt nu eenmaal stukken lastiger in 2^64 bits dan in 2^32 bits. :)
16-05-2016, 20:41 door Anoniem
Door Anoniem: Ik kan je ook sterk aanraden om een 64 bits versie van windows te gebruiken, daar is DEP en vooral ASLR effectiever (het zoekt nu eenmaal stukken lastiger in 2^64 bits dan in 2^32 bits. :)
Alsmede niet te vergeten uiteraard dit dan te laten draaien op een computer met daarin een 64 bits processor... ;-)
(en hoeft niet per se windows te zijn)

GH
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.