Microsofts Sysmon kan nu het downloaden van .exe-bestanden blokkeren

3 reacties

De nieuwe versie van Microsofts systeemmonitor-service Sysmon kan het aanmaken van uitvoerbare bestanden blokkeren. Met het FileBlockExecutable-event kan voorkomen worden dat een programma .exe- of .dll-bestanden download of kopieert naar de harde schijf.

Blogger Olaf Hartong demonstreerde de functie met dit configuratiebestand:

Uitvoerbare bestanden kunnen hiermee niet naar de Downloads-map gekopieerd worden. Een .exe-bestand downloaden met Edge geeft meteen een foutmelding. Een kopie van een uitvoerbaar bestand in de map zelf maken (bijvoorbeeld met het 'copy'-commando in de Opdrachtprompt) is ook niet meer mogelijk.

Van elke blokkade verschijnt een melding in Windows’ Event Viewer (eventvwr.msc), met de locatie van het (niet aangemaakte) bestand en het proces dat probeerde het bestand aan te maken.

De functie zou handig kunnen zijn voor systeembeheerders, om te voorkomen dat gebruikers .exe-bestanden downloaden. Ook kwaadwillige software kan hiermee afgeweerd worden, al moet je dan wel eerst even weten naar welk mapje (of met welk proces-id) hij schrijf, en dan is het kwaad waarschijnlijk al geschied.

Bronnen: Microsoft, Medium

« Vorig bericht Volgend bericht »
0