keskiviikko 16. lokakuuta 2019

Windows 10 suojaa kiristysohjelmia vastaan

Windows 10 sai jokin aika sitten 1709-päivityksessä uuden suojauksen kiristyshaittaohjelmia vastaan. Se estää muita kuin luvan saaneita ohjelmia kirjoittamasta tärkeisiin kansioihin. Pelkät käyttöoikeudet eivät tähän pysty, sillä tyypillisesti kiristysohjelma käynnistyy käyttäjän omilla oikeuksilla ja pääsee siten estoitta kaikkein tärkeimpiin kansioihin salakirjoittamaan niistä löytyvät tiedostot.

Suojaus on kuin käyttäjätunnuksen sisäinen käyttöoikeus, jota käyttäjä voi itse hallita. Asetusten muuttaminen vaatii tosin admin-oikeudet.

Oletusarvona toiminto ei ole päällä, joten sen käyttöönotto vaatii oma-aloitteisuutta. Suojaus löytyy asetuksista nimellä Kiristysohjelmien torjunta. Ominaisuuden virallinen nimi on Hallittu kansion käyttö (Controlled Folder Access).

Kiristysohjelmien torjunta.
Oletusarvona suojataan kaikki käyttäjän kotihakemiston alla olevat kansiot, kuten kuvat, asiakirjat, musiikki, videot ja työpöytä. Kansioiden nimet näkyvät kohdasta Hallittu kansion käyttö > Suojatut kansiot.

Suojatut kansiot.
Lisää suojattu kansio -toiminto lisää nimensä mukaisesti suojattujen listaan uuden kohteen.

Kun suojaus on käytössä, vieraan ohjelman yritys kirjoittaa suojattuihin kansioihin estetään ja työpöydän alanurkassa näkyy ilmoitus tapahtuneesta:
Luvaton kirjoitusyritys estetty.
Jos ohjelma on itse asennettu ja hyväksi havaittu, muokkausoikeus on helpointa myöntää etsimällä lokista estetyn ohjelman nimi ja valitsemalla sen kohdalla Toiminnot > Salli laitteessa.

Ohjelman käytön salliminen.
Windowsin suomenkielinen versio kutsuu toimintoa nimellä Estä historia, kun oikea muoto olisi Estohistoria. Toiminto ei siis estä historiaa, vaan sallii estohistorian tarkastelun ja oikeuden myöntämisen.

Luvalliset ohjelmat voi listata myös etukäteen, mutta käytännössä uusia kohteita löytyy aina myös käytön aikana, joten historian perusteella tapahtuva luvitus on käytännöllisempi. Kokeilun perusteella näyttää siltä, että Windowsin omat apuohjelmat ja sovellukset saavat luvat automaattisesti, joten niitä ei tarvitse lisätä sallittujen listalle (whitelist).

Ominaisuus ei ole yhteensopiva muiden virustorjuntaohjelmien kanssa, jotka haluavat hallita kirjoitusta itse. Siksi sitä voi käyttää vain Windowsin oman Defender-antiviruksen kanssa.

Kokeilujen perusteella suojaus näyttäisi ulottuvan automaattisesti myös kansion alikansioihin, joten esimerkiksi Dropboxin kansiota ei tarvitse erikseen lisätä suojattujen listalle. Windows ei kuitenkaan varoita, että kansio on jo suojan piirissä, vaan antaa tehdä lisäyksen normaalisti. Kannattaa siis varmistaa kokeilemalla, että suojaus todella toimii niissä kansioissa missä pitääkin. 

Ei kommentteja:

Lähetä kommentti