Simple Software-Restriction Policy 2.1.0
Malware loert altijd om de hoek en vooral ransomware heeft de laatste tijd talloze slachtoffers gemaakt. Simple Software-Restriction Policy is een wat apart manier om dergelijk ongein de pas af te snijden: deze software zorgt er namelijk voor dat alleen executables kunnen worden uitgevoerd die zich in de mappen \Program Files, \Program Files (x86) en \Windows bevinden.
Whitelisten
Wie gebruik maakt van Windows Pro of hoger kan een ingebouwde beveiligingsfunctie van Windows aanspreken om bepaalde applicaties te ‘whitelisten’ – lees: op een lijst van goedgekeurde toepassingen te plaatsen. Deze functie luistert naar de naam Softwarerestrictiebeleid (srp) en laat zich onder meer vanuit de module Lokaal beveiligingsbeleid configureren. Windows Home gebruikers vallen hier jammer genoeg uit te boot, maar Simple Software-Restriction Policy biedt (ook voor hen) een gelijkaardige functionaliteit. Meer zelfs, de tool is erg eenvoudig te bedienen en dat is handig meegenomen óók voor gebruikers van Windows Pro.
Meteen na de installatie (en een herstart) nestelt het programma zich in het Windows-systeemvak en is de beveiliging actief. Vanaf dit moment kunnen alleen programma’s die zich in de mappen \Program Files, \Program Files (x86) en \Windows bevinden, of in submappen hiervan, worden uitgevoerd. Belangrijk is dus wel dat je zeker bent dat de executables op die locaties koosjer zijn: eerst een grondige antivirus-scan draaien dus.
Veiligheid eerst
Het is ook belangrijk dat je je voor dagdagelijks gebruik met een standaardaccount aanmeldt gezien die je vanuit zo’n account geen schrijfmachtigingen hebt op de vermelde mappen. Malware, zoals ransomware, die onder de auspiciën van dat account in je systeem weten door te dringen zullen zich dus niet in de vermelde mappen kunnen installeren. Eventueel wel op andere locaties, zoals je gebruikersprofiel, maar dankzij Simple Software-Restriction Policy kunnen die van daaruit niet worden uitgevoerd.
Het is trouwens op elk moment mogelijk de beveiliging van de tool met een druk op de knop tijdelijk uit te schakelen: standaard wordt de beveiliging dan 30 minuten op non-actief gezet. Dat is ruim voldoende om bijvoorbeeld een nieuwe programma te installeren (in één van de vermelde mappen) of om een overtollig programma te verwijderen. Deze tijdsduur kun je echter ook aanpassen: dat gebeurt door met je Kladblok het bijhorende softwarepolicy.ini-bestand te bewerken.
Dit bestand bevat trouwens nog een reeks opties en instelmogelijkheden waarmee je de tool nog beter op je wensen kunt afstemmen. Hier kun je bijvoorbeeld ook aangeven dat ook (portable) programma’s op het bureaublad toegelaten worden of dat de beveiliging niet moet gelden voor een lokale administrator.