Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Windows defender anno 2022 - Betrouwbaar

02-05-2022, 18:30 door Anoniem, 14 reacties
Hallo,

ik maak, sinds ettelijke jaren linux gebruikt te hebben, weer gebruik van windows 10.
Nu vraag ik mij af of windows defender betrouwbaar genoeg is om af te zien van derde partij beveleiligers, zoals NOD32 of wat dan ook.

Dank
Reacties (14)
02-05-2022, 21:15 door Anoniem
Lol gevonden. Maar absoluut. Ik ben jaloers dat Linux geen (gratis) versie van defender heeft. Het grote nadeel van defender is dat je het als local admin gemakkelijk uit kan zetten via o.a. powershell. Daarbij moet je niet alleen op je AV vertrouwen maar die gedachte gang had je waarschijnlijk al.
03-05-2022, 09:37 door Anoniem
Als je even had ge-Google'd, had je AV testen kunnen vinden waarin Defender altijd in de bovenste regionen meedraait.

Defender is, in combinatie met gezond verstand, prima om je PC vrij te houden van ellende.
En zorg ervoor dat je standaard account geen admin rechten heeft, zoals in Linux.
03-05-2022, 15:15 door Anoniem
Windows defender is een prima beveiliging
en scoort zeer goed bij de antivirus testen uit duitsland.

AV-Test vergelijkt 18 virusscanners voor eindgebruikers op Windows 10

Wie een antiviruspakket zoekt heeft keus uit tientallen aanbieders, maar in de praktijk blijken ze elkaar weinig te ontlopen, zo stelt het Duitse AV-TEST Institute op basis van een test met achttien verschillende pakketten.

Daarvan worden er veertien als "Top Product" bestempeld, waaronder het gratis Microsoft Defender dat standaard in Windows 10 zit ingebouwd
03-05-2022, 18:15 door johanw
Het geeft mij teveel false positives op keygens e.d.. Zelfs plain text scripts die zoiets doen en waar ik van kan zien dat ze niks slechts doen (voor mij dan) worden als virus aangeduidt en meteen ongevraagd verwijderd.
03-05-2022, 19:26 door Anoniem
Door johanw: Het geeft mij teveel false positives op keygens e.d.. Zelfs plain text scripts die zoiets doen en waar ik van kan zien dat ze niks slechts doen (voor mij dan) worden als virus aangeduidt en meteen ongevraagd verwijderd.

Gewoon de mappen met keygens excluden voor de scans?
04-05-2022, 00:49 door Anoniem
Door johanw: Het geeft mij teveel false positives op keygens e.d.. Zelfs plain text scripts die zoiets doen en waar ik van kan zien dat ze niks slechts doen (voor mij dan) worden als virus aangeduidt en meteen ongevraagd verwijderd.
Dat zijn geen false positives dat zijn positive results. Dat jij je bezig houdt met illegale software licenties is je eigen verantwoordelijkheid maar scanners maken gebruik van databases om ook dit soort software te detecteren.

Je kunt of ze voortijdig opnemen in een exclusion lijst of opnemen als allowed threats.
Vergelijk het met een rookdetector die aangaat omdat je een sigaret eronder aan het roken bent. Het product doet exact waar het voor bedoeld is.


Terug naar TS
Microsoft Defender Antivirus is prima voor huis tuin keuken gebruik. Je gaat geen geavanceerde functies erin vinden nog mogelijkheden tot uitbreidingen van de functies en audits zijn een ramp erin. Maar signatures zijn goed het houdt meeste reguliere troep al jaren tegen voor de prijs van 0 euro is het prima.

Persoonlijk sinds je Linux gewend bent zou ik zeggen draai er een ClamAV variant naast gooi er wat detection signature
repositories in en je hebt een tweede paar ogen die je on demand kan draaien voor second opinion. Voor serieuze analyse kun je enige potentiele payload doorzetten naar virustotal of joesandbox.


Is beveiliging echter echt een zorgenkindje dan skip alle consumenten en opensource meuk en investeer in een zakelijke beveiliging suite voor je persoonlijke infra met een S.L.A. De paar tientjes qua abbonement die je meestal extra kwijt bent ten opzichte van de consumenten variant is het waard voor de type beveiliging die je er mee op kan zetten. Kost je een middag en daarna is het simpelweg monitoren van je dashboard.

De besparing zit hem er voornamelijk in dat je zo beetje alles kan automatiseren en waar je niet uitkomt schiet je gewoon een ticket voor in je betaalt er toch voor.
05-05-2022, 09:58 door Anoniem
Door Anoniem: Lol gevonden. Maar absoluut. Ik ben jaloers dat Linux geen (gratis) versie van defender heeft. Het grote nadeel van defender is dat je het als local admin gemakkelijk uit kan zetten via o.a. powershell. Daarbij moet je niet alleen op je AV vertrouwen maar die gedachte gang had je waarschijnlijk al.

In Intune/Defender for Endpoint heb je "Tamper Protection", dan kan zelfs een Local Admin de Windows Defender Antivirus niet meer uitschakelen.

Tamper protection essentially locks Microsoft Defender Antivirus to its secure, default values, and prevents your security settings from being changed through apps and methods such as:

- Configuring settings in Registry Editor on your Windows device
- Changing settings through PowerShell cmdlets
- Editing or removing security settings through Group Policy

Voor "standaard consumenten" zonder Intune/Defender for Endpoint, kan je volgens mij ook Tamper Protection in Windows zelf inschakelen:
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide#manage-tamper-protection-on-an-individual-device
06-05-2022, 14:02 door Anoniem
Door Anoniem:
Door Anoniem: Lol gevonden. Maar absoluut. Ik ben jaloers dat Linux geen (gratis) versie van defender heeft. Het grote nadeel van defender is dat je het als local admin gemakkelijk uit kan zetten via o.a. powershell. Daarbij moet je niet alleen op je AV vertrouwen maar die gedachte gang had je waarschijnlijk al.

In Intune/Defender for Endpoint heb je "Tamper Protection", dan kan zelfs een Local Admin de Windows Defender Antivirus niet meer uitschakelen.

Tamper protection essentially locks Microsoft Defender Antivirus to its secure, default values, and prevents your security settings from being changed through apps and methods such as:

- Configuring settings in Registry Editor on your Windows device
- Changing settings through PowerShell cmdlets
- Editing or removing security settings through Group Policy

Voor "standaard consumenten" zonder Intune/Defender for Endpoint, kan je volgens mij ook Tamper Protection in Windows zelf inschakelen:
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide#manage-tamper-protection-on-an-individual-device

Hi, de eerste reactie was van mij

- "ik maak, sinds ettelijke jaren linux gebruikt te hebben, weer gebruik van windows 10." < ik vermoed dat het gaat om een single client system en niet een office365 defender ATP bedrijfsoplossing
- "Nu vraag ik mij af of windows defender betrouwbaar genoeg is om af te zien van derde partij beveleiligers, zoals NOD32 of wat dan ook." <- office policies en enforcements maken gebruik van een derde 'cloud' partij.

Ik >dacht< dat "home" defender zelf geen tamper protection had. Zo wel laat het weten want dat is best cool :p!

Als je nog een goeie gratis AV kent voor Linux btw, dan hoor ik het graag. Sophos AV home is "op" en ClamAV doet (ook met extensie repo's voor detectie en de goede on-access scanning configs) niet zo heel veel.

Verder vindt ik defender tof omdat het de standaard tooling (mimikatz etc) vangt, en omdat malicous powershell API calls en base64 blobs detecteerd (Powershell stuurt API calls eerst langs defender, denk bijvoorbeeld aan Virtualalloc() voor Powershell PE In-Malware injecties voor AV detecties, die worden zo gedetecteerd door defender).

Powershell is zo krachtig en abused door aanvallers, dat het (bij gebruik van sterke logging, IDS, en Defender AV) nu de "please catch me" tool nummer 1 is voor red-teamers en pentesters. Met nu bedoel ik sinds 2017-ish, toen kwamen heel veel in-memory powershell attacks voor. Dat gebeurt overigens nu nog, maar dan probeert de aanvaller oudere versies van powershell te targetten (2.0 of in iedergeval onder 5.0) zodat powershell calls minder goed werken met defender. of cmd :p.

goed verhaal lekker kort, mybad

- ramlatel
07-05-2022, 00:39 door Anoniem
Door Anoniem:
Door johanw: Het geeft mij teveel false positives op keygens e.d.. Zelfs plain text scripts die zoiets doen en waar ik van kan zien dat ze niks slechts doen (voor mij dan) worden als virus aangeduidt en meteen ongevraagd verwijderd.
Dat zijn geen false positives dat zijn positive results. Dat jij je bezig houdt met illegale software licenties is je eigen verantwoordelijkheid maar scanners maken gebruik van databases om ook dit soort software te detecteren.

Nee, zaken detecteren die niet kwaadaardig zijn is een false positive. Dan gaat het uiteraard over kwaadaardigheid tegen de gebruiker en niet tegen Microsoft. Microsoft doet dit duidelijk voor eigen doeleinden. Een malware scanner moet alleen gebruikt worden voor malware of er moet duidelijk worden aangegeven wat het is (Joke, Hacktool, Not-a-virus). Verwijderen of locken moet uitschakelbaar zijn als een tool dat soort "detecties" doet.

Een aantal van die tools worden gebruikt voor het omzetten van Windows en Office varianten. Dat voorkomt een tijdrovende herinstallatie. De source code van die tools staat gewoon op Github (ook van Microsoft).

Overigens zijn veel van de keygen/cracktools op Internet daadwerkelijk trojans. Er is een hele trojan/botnet gestroomlijnde industrie omheen gevormd op talloze websites. Die hebben alleen als doel zoveel mogelijk computers te infecteren.
07-05-2022, 10:08 door Anoniem
Je eerste verdediging tegen ongewenste code is uiteraard het blokkeren van executable code buiten de gangbare
Windows en Program Files* directories, of tenminste in de %temp% en Downloads directories.
Als je iets gedownload hebt wat je wilt uitvoeren moet je het eerst verplaatsen naar een plek waar het wel uitgevoerd
mag worden, wellicht via een locale admin user en UAC.
Daarmee voorkom je dat er "zomaar vanzelf" code uitgevoerd wordt door webpagina's, documenten, etc.
07-05-2022, 11:06 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Lol gevonden. Maar absoluut. Ik ben jaloers dat Linux geen (gratis) versie van defender heeft. Het grote nadeel van defender is dat je het als local admin gemakkelijk uit kan zetten via o.a. powershell. Daarbij moet je niet alleen op je AV vertrouwen maar die gedachte gang had je waarschijnlijk al.

In Intune/Defender for Endpoint heb je "Tamper Protection", dan kan zelfs een Local Admin de Windows Defender Antivirus niet meer uitschakelen.

Tamper protection essentially locks Microsoft Defender Antivirus to its secure, default values, and prevents your security settings from being changed through apps and methods such as:

- Configuring settings in Registry Editor on your Windows device
- Changing settings through PowerShell cmdlets
- Editing or removing security settings through Group Policy

Voor "standaard consumenten" zonder Intune/Defender for Endpoint, kan je volgens mij ook Tamper Protection in Windows zelf inschakelen:
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide#manage-tamper-protection-on-an-individual-device

Hi, de eerste reactie was van mij

- "ik maak, sinds ettelijke jaren linux gebruikt te hebben, weer gebruik van windows 10." < ik vermoed dat het gaat om een single client system en niet een office365 defender ATP bedrijfsoplossing
- "Nu vraag ik mij af of windows defender betrouwbaar genoeg is om af te zien van derde partij beveleiligers, zoals NOD32 of wat dan ook." <- office policies en enforcements maken gebruik van een derde 'cloud' partij.

Ik >dacht< dat "home" defender zelf geen tamper protection had. Zo wel laat het weten want dat is best cool :p!

Als je nog een goeie gratis AV kent voor Linux btw, dan hoor ik het graag. Sophos AV home is "op" en ClamAV doet (ook met extensie repo's voor detectie en de goede on-access scanning configs) niet zo heel veel.

Verder vindt ik defender tof omdat het de standaard tooling (mimikatz etc) vangt, en omdat malicous powershell API calls en base64 blobs detecteerd (Powershell stuurt API calls eerst langs defender, denk bijvoorbeeld aan Virtualalloc() voor Powershell PE In-Malware injecties voor AV detecties, die worden zo gedetecteerd door defender).

Powershell is zo krachtig en abused door aanvallers, dat het (bij gebruik van sterke logging, IDS, en Defender AV) nu de "please catch me" tool nummer 1 is voor red-teamers en pentesters. Met nu bedoel ik sinds 2017-ish, toen kwamen heel veel in-memory powershell attacks voor. Dat gebeurt overigens nu nog, maar dan probeert de aanvaller oudere versies van powershell te targetten (2.0 of in iedergeval onder 5.0) zodat powershell calls minder goed werken met defender. of cmd :p.

goed verhaal lekker kort, mybad

- ramlatel


Betreft : Ik >dacht< dat "home" defender zelf geen tamper protection had. Zo wel laat het weten want dat is best cool :p!

Volgens de Microsoft Documentatie is "Tamper Protection" beschikbaar voor "Home Users", er staat niet specifiek bij of het de "Home Edition" betreft van Windows 10/11, maar daar lijkt het dus wel op.
Tevens lees ik het volgende:

- For home users, tamper protection will be enabled by default to automatically increase defenses against attacks.

Volgens mij kan je dit simpel controleren conform deze instructies, controleer of deze instelling in jouw "Settings" menu zichtbaar is: https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide#manage-tamper-protection-on-an-individual-device
07-05-2022, 11:08 door Anoniem
Door Anoniem: Je eerste verdediging tegen ongewenste code is uiteraard het blokkeren van executable code buiten de gangbare
Windows en Program Files* directories, of tenminste in de %temp% en Downloads directories.
Als je iets gedownload hebt wat je wilt uitvoeren moet je het eerst verplaatsen naar een plek waar het wel uitgevoerd
mag worden, wellicht via een locale admin user en UAC.
Daarmee voorkom je dat er "zomaar vanzelf" code uitgevoerd wordt door webpagina's, documenten, etc.

Heel goed advies, hiervoor heb je 2 methodes die ingebouwd zijn in Windows:
- Applocker
- Windows Defender Application Control

Waarbij de leercurve van Applocker lager is dan die van WDAC, echter met WDAC je zeker een meer secure omgeving kan maken.

Zelf veel ervaring met WDAC, maar daar zitten wel aardig wat uurtjes in verwerkt om dit goed werkend te krijgen.
09-05-2022, 12:10 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Lol gevonden. Maar absoluut. Ik ben jaloers dat Linux geen (gratis) versie van defender heeft. Het grote nadeel van defender is dat je het als local admin gemakkelijk uit kan zetten via o.a. powershell. Daarbij moet je niet alleen op je AV vertrouwen maar die gedachte gang had je waarschijnlijk al.

In Intune/Defender for Endpoint heb je "Tamper Protection", dan kan zelfs een Local Admin de Windows Defender Antivirus niet meer uitschakelen.

Tamper protection essentially locks Microsoft Defender Antivirus to its secure, default values, and prevents your security settings from being changed through apps and methods such as:

- Configuring settings in Registry Editor on your Windows device
- Changing settings through PowerShell cmdlets
- Editing or removing security settings through Group Policy

Voor "standaard consumenten" zonder Intune/Defender for Endpoint, kan je volgens mij ook Tamper Protection in Windows zelf inschakelen:
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide#manage-tamper-protection-on-an-individual-device

Hi, de eerste reactie was van mij

- "ik maak, sinds ettelijke jaren linux gebruikt te hebben, weer gebruik van windows 10." < ik vermoed dat het gaat om een single client system en niet een office365 defender ATP bedrijfsoplossing
- "Nu vraag ik mij af of windows defender betrouwbaar genoeg is om af te zien van derde partij beveleiligers, zoals NOD32 of wat dan ook." <- office policies en enforcements maken gebruik van een derde 'cloud' partij.

Ik >dacht< dat "home" defender zelf geen tamper protection had. Zo wel laat het weten want dat is best cool :p!

Als je nog een goeie gratis AV kent voor Linux btw, dan hoor ik het graag. Sophos AV home is "op" en ClamAV doet (ook met extensie repo's voor detectie en de goede on-access scanning configs) niet zo heel veel.

Verder vindt ik defender tof omdat het de standaard tooling (mimikatz etc) vangt, en omdat malicous powershell API calls en base64 blobs detecteerd (Powershell stuurt API calls eerst langs defender, denk bijvoorbeeld aan Virtualalloc() voor Powershell PE In-Malware injecties voor AV detecties, die worden zo gedetecteerd door defender).

Powershell is zo krachtig en abused door aanvallers, dat het (bij gebruik van sterke logging, IDS, en Defender AV) nu de "please catch me" tool nummer 1 is voor red-teamers en pentesters. Met nu bedoel ik sinds 2017-ish, toen kwamen heel veel in-memory powershell attacks voor. Dat gebeurt overigens nu nog, maar dan probeert de aanvaller oudere versies van powershell te targetten (2.0 of in iedergeval onder 5.0) zodat powershell calls minder goed werken met defender. of cmd :p.

goed verhaal lekker kort, mybad

- ramlatel
Je zit er naast. Het platform to catch is Linux en FreeBSD waar de kroonjuwelen op draaien. Windows is laaghangend fruit.
Antivirus op Linux is zinloos en zelfs ongewenst ivm met vergroten van het aanvalsvlak.
09-05-2022, 13:03 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem:
Door Anoniem: Lol gevonden. Maar absoluut. Ik ben jaloers dat Linux geen (gratis) versie van defender heeft. Het grote nadeel van defender is dat je het als local admin gemakkelijk uit kan zetten via o.a. powershell. Daarbij moet je niet alleen op je AV vertrouwen maar die gedachte gang had je waarschijnlijk al.

In Intune/Defender for Endpoint heb je "Tamper Protection", dan kan zelfs een Local Admin de Windows Defender Antivirus niet meer uitschakelen.

Tamper protection essentially locks Microsoft Defender Antivirus to its secure, default values, and prevents your security settings from being changed through apps and methods such as:

- Configuring settings in Registry Editor on your Windows device
- Changing settings through PowerShell cmdlets
- Editing or removing security settings through Group Policy

Voor "standaard consumenten" zonder Intune/Defender for Endpoint, kan je volgens mij ook Tamper Protection in Windows zelf inschakelen:
https://docs.microsoft.com/en-us/microsoft-365/security/defender-endpoint/prevent-changes-to-security-settings-with-tamper-protection?view=o365-worldwide#manage-tamper-protection-on-an-individual-device

Hi, de eerste reactie was van mij

- "ik maak, sinds ettelijke jaren linux gebruikt te hebben, weer gebruik van windows 10." < ik vermoed dat het gaat om een single client system en niet een office365 defender ATP bedrijfsoplossing
- "Nu vraag ik mij af of windows defender betrouwbaar genoeg is om af te zien van derde partij beveleiligers, zoals NOD32 of wat dan ook." <- office policies en enforcements maken gebruik van een derde 'cloud' partij.

Ik >dacht< dat "home" defender zelf geen tamper protection had. Zo wel laat het weten want dat is best cool :p!

Als je nog een goeie gratis AV kent voor Linux btw, dan hoor ik het graag. Sophos AV home is "op" en ClamAV doet (ook met extensie repo's voor detectie en de goede on-access scanning configs) niet zo heel veel.

Verder vindt ik defender tof omdat het de standaard tooling (mimikatz etc) vangt, en omdat malicous powershell API calls en base64 blobs detecteerd (Powershell stuurt API calls eerst langs defender, denk bijvoorbeeld aan Virtualalloc() voor Powershell PE In-Malware injecties voor AV detecties, die worden zo gedetecteerd door defender).

Powershell is zo krachtig en abused door aanvallers, dat het (bij gebruik van sterke logging, IDS, en Defender AV) nu de "please catch me" tool nummer 1 is voor red-teamers en pentesters. Met nu bedoel ik sinds 2017-ish, toen kwamen heel veel in-memory powershell attacks voor. Dat gebeurt overigens nu nog, maar dan probeert de aanvaller oudere versies van powershell te targetten (2.0 of in iedergeval onder 5.0) zodat powershell calls minder goed werken met defender. of cmd :p.

goed verhaal lekker kort, mybad

- ramlatel
Je zit er naast. Het platform to catch is Linux en FreeBSD waar de kroonjuwelen op draaien. Windows is laaghangend fruit.
Antivirus op Linux is zinloos en zelfs ongewenst ivm met vergroten van het aanvalsvlak.
Hier is op Linux ook nog nooit iets gevangen met de gesloten software van Microsoft, Trend micro of Sophos maar wel risico gelopen mogelijkheid van supply chain infecties aan de leverancier kant. Nu wordt er ClamAV gebruikt voor de Linux mailgateways maar dat is alleen om Microsoft clients te pleasen.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.