Puheluhuijarit käyttävät etäkäyttöohjelmaa ottaessaan uhrin koneen haltuunsa. Entä jos estäisi TeamViewerin (ja AnyDeskin, toisen vastaavan ohjelman) käynnistymisen? Se toisi lisäturvaa omien vanhempien tai isovanhempien tietokoneelle. Yrityksiin toki myös, mutta niissä latauksia ja käynnistyksiä voidaan hallita muilla tietoturvaohjelmilla ja etähallinta on muutenkin yleensä käytössä. Ellei pk-yrityksessä näin ole, samaa ideaa voi käyttää muuallakin.
Ratkaisuna on group policy eli ryhmäkäytäntö. Se on vanha Windowsin ominaisuus, joka hyödyntää järjestelmärekisteriä ja lataa sinne ylläpidon sanelemat asetukset koneen kirjautuessa lähiverkkoon. Näin mikrotuki voi hallita satoja työasemia poistumatta omalta työpisteeltään.
Paikallisesti tehtynä ryhmäkäytäntö avataan kirjoittamalla komentoriville start gpedit.msc tai käynnistysvalikon hakukenttään yksinkertaisestai gpedit.msc. Käyttö vaatii järjestelmänvalvojan oikeudet, muutoin tuloksena on virheilmoitus "Sinulla ei ole oikeuksia toiminnon suorittamiseen".
Sen jälkeen etsitään hierarkiasta kohta Käyttäjäasetukset > Hallintamallit > Järjestelmä > Älä suorita tiettyjä Windows-sovelluksia (User configuration > Administrative Templates > System >Don't run specified Windows applications):
Ryhmäkäytäntöeditori |
Napsautetaan kohtaa ja kirjoitetaan kiellettyjen sovellusten tiedostonimet listaan:
Kiellettyjen sovellusten lista tiedostoniminä. |
Tallentamisen jälkeen yritys käynnistää kielletty ohjelma mistä hakemistosta tahansa antaa virheilmoituksen:
TeamViewer Quick Supportin käynnistäminen estetty. |
Jos käyttäjällä on koneeseen vain perusoikeudet (kuten pitäisi), hän ei pysty itse poistamaan suojausta.
Valitettavasti ryhmäkäytännöt toimivat vain Windows Pro-versioissa. Kotikäyttöön tarkoitetussa Home-versiossa on kyllä samat ominaisuudet, mutta ne on piilotettu ja käyttöönotto vaatii vähän näpertelyä.
Suojaus perustuu tiedoston nimeen. Jos puhelinhuijarit hoksaavat kikan, he voivat opastaa uhria vaihtamaan ohjelmatiedoston nimen. Tällainen temppu ei kuitenkaan ole ihan triviaali, etenkin jos uhrilla on suomenkielinen Windows ja hän lukee tekstin puhelimessa intialaiselle huijarille.
Ryhmäkäytännön varaan rakentuva AppLocker tarjoaa laajemman kontrollin, sillä ohjelmia voidaan estää tiedoston tiivisteen (hash) ja digitaalisen allekirjoituksen perusteella. Tätä kautta voitaisiin estää kaikkien TeamViewer AG:n ohjelmat eikä nimen vaihtaminen riittäisi eston kiertämiseen.
Mahtaisiko tuossa toimia klassinen korvaaja "tähti" Eli siis esimerkiksi teamview*.exe? Näin ei tarvitsisi jokaista eri versiota erikseen estää.
VastaaPoistaTällä saisi laajemman mahdollisuuden vastustaa nimenmuutosta.
Tosin noita etäohjelmia on intialaisilla edelleenkin käytössä kymmeniä muitakin. Itse asiassa heillä usein on useampia kerrallaan ihan siltä varalta, että jos ensisijainen ei toimi, kokeillaan toisella.
Wildcard ei toimi tuossa yhteydessä vaan ainoastaan polun kanssa (%jotain%\*.exe).
VastaaPoistaJa kuten oli puhetta, niin vastaan tuli kone johon oli saatu etäyhteys ystävällisen tukihenkilön avustuksella. Koneelta löytyi kaikkiaan kolme etätukiohjelmaa; TeamViewer, Anydesk sekä Ultraviewer. Kaikkia oli käytetty mutta liekö sitten iskenyt Teamviewerin aikarajoitus vastaan, kun ohjelmaa on pitänyt vaihtaa.
VastaaPoista