Deze pagina besteedt aandacht aan de beveiliging van de Windows-inlogprocedure, de perikelen rondom gebruikers- en administratoraccounts en de beveiliging van persoonlijke bestanden. Veel gebruikers beveiligen hun gebruikersaccount met een wachtwoord en denken (vaak ten onrechte) dat daarmee hun gegevens veilig zijn. Een wachtwoord is echter hooguit een eerste veiligheidsdrempel die ervoor zorgt dat een onbevoegde niet zomaar even kan inloggen. Krijgt een ongenode gast rustig de tijd, dan kan deze zonder problemen toegang verkrijgen tot vele persoonlijke bestanden én inloggegevens!
LET OP: In Windows Vista/7 is het beveiligingsniveau sterk verhoogd. Hoewel veel informatie op deze pagina ook van toepassing is op Windows Vista, zijn deze teksten meer van toepassing voor een Windows XP-installatie.
Aanpassen van het Windows-welkomstscherm
Bij het inloggen toont Windows standaard het welkomstscherm met daarin de
verschillende gebruikers. Bij een systeem met maar één gebruikersaccount (zonder
wachtwoord) wordt het
welkomstscherm zelfs overgeslagen en wordt direct doorgestart naar het
bureaublad. Deze instellingen zorgen ervoor dat een ongenode gast wel erg gemakkelijk
toegang kan krijgen tot het systeem! Dit risico
kan worden verlaagd met een aanpassing van de inlogprocedure zodat
Windows het welkomstscherm
met de verschillende gebruikersaccounts niet meer
toont. Ga hiervoor naar het onderdeel
Gebruikersaccounts van het configuratiescherm en kies voor De
manier waarop gebruikers zich aan- en afmelden wijzigen,
deactiveer de optie Het welkomstscherm gebruiken.
Deze aanpassing maakt het noodzakelijk eerst de gebruikersnaam en het wachtwoord handmatig in te voeren
alvorens toegang tot een account wordt verkregen.
De laatste gebruiker niet meer tonen in het inlogvenster
Na het uitschakelen van het welkomstscherm wordt nog steeds de laatste gebruiker
in het inlogvenster getoond. Dit is te voorkomen met een registeraanpassing:
verander met de
registereditor de waarde DontDisplayLastUsername in 1 in de registersleutel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
Wachtwoord vragen na het ontwaken uit stand-by-/slaapstand
Moet Windows ook bij het ontwaken uit de stand-by-/slaapstand naar een wachtwoord
vragen?
Deze optie kan worden ge(de)activeerd bij het onderdeel Energiebeheer
van het configuratiescherm. Vervolgens kan deze optie bij Windows XP worden
gewijzigd via het tabblad Geavanceerd, optie
Wachtwoord vragen als computer uit stand-by wordt gehaald en bij Windows
Vista/7 via de taak Een wachtwoord vereisen bij uit slaapstand komen in het
taakvenster (activeer wel eerst de optie Instellingen wijzigen die momenteel
niet beschikbaar zijn).
Aanpassen getoonde gebruikersaccounts met TweakUI
Pas de in het welkomstscherm weer te geven gebruikersaccounts aan met
TweakUI,
tabblad Logon.
Bij het sub-tabblad Unread Mail kan tevens de weergave van het aantal ongelezen e-mailberichten bij de verschillende
gebruikers in het welkomstscherm worden uitgeschakeld.
Veel Windows-gebruikers denken dat de toegang tot de persoonlijke gegevens afdoende wordt beveiligd door het account te voorzien van een wachtwoord en/of de bestanden in de map Mijn documenten/Documenten 'persoonlijk' te maken. Een wachtwoord blijkt echter met de juiste tools niet al te ingewikkeld te omzeilen. En met een tweede administratoraccount is het vrij eenvoudig toegangsrechten tot beveiligde accounts en persoonlijk gemaakte bestanden te verkrijgen! Waan u dus niet al te snel veilig, dergelijke beveiligingen zijn slechts een eerste verdedigingslinie! Iemand met fysieke toegang tot de computer kan toegang krijgen tot meer informatie dan u voor mogelijk houdt...
Alleen met een administratoraccount kunnen belangrijke systeemwijzigingen worden doorgevoerd. Naast de zelf aangemaakte administratoraccounts is Windows standaard voorzien van een verborgen administratoraccount met de naam Administrator. Ook Windows Vista heeft een standaard administratoraccount (zonder wachtwoord) met de naam Administrator (deze wordt echter alleen zichtbaar nadat de overige administratoraccounts zijn verwijderd). Hiermee wordt voorkomen dat er geen toegang meer tot het systeem is wanneer per ongeluk alle administratoraccounts worden verwijderd. Zolang er toegang tot een van de administratoraccounts is, kan er ook toegang worden verkregen tot de andere accounts.
TIP: Met het commando net user administrator /active:yes in een Opdrachtvenster kan het administratoraccount zichtbaar worden gemaakt. Vervang yes door no om deze weer te verbergen.
Tijdens de installatie van Windows XP Pro wordt gevraagd om een wachtwoord voor het standaard administratoraccount, bij de installatie van Windows XP Home wordt deze vraag achterwege gelaten. Door op te starten in de veilige modus (door op F8 te drukken tijdens het opstarten van Windows) en in te loggen met het standaard administratoraccount (wat zeker geen probleem oplevert wanneer er geen wachtwoord is opgegeven!) kan dus toegang tot alle gebruikersaccounts worden verkregen. Is de beveiliging van de persoonlijke gegevens belangrijk, dan is het verstandig het administratoraccount via de veilige modus alsnog te voorzien van een wachtwoord!
LET OP: Er kan met meerdere administratoraccounts binnen één systeem worden gewerkt. Bij het aanmaken van een nieuw account wordt altijd het gewenste type gevraagd: een account met beheerrechten (administratoraccount) of een account met beperkte mogelijkheden (standaardgebruiker). Welke accounts administratorrechten hebben, is in te zien (én te wijzigen) bij het onderdeel Gebruikersaccounts in het configuratiescherm.
Maar wat te doen wanneer u het wachtwoord van het administratoraccount niet meer weet? Op de pagina over opstartbare CD’s worden de tools Ophcrack (download: http://ophcrack.sourceforge.net) en Offline NT Password & Registry Editor (download: http://home.eunet.no/~pnordahl/ntpasswd) als mogelijke oplossing genoemd. Deze tools zijn bruikbaar voor het achterhalen en/of het overschrijven van het wachtwoord van een Windows NT, 2000, XP, 2003 of Vista systeem. Erg handig wanneer u het wachtwoord van het administratoraccount bent vergeten en toch nog toegang wilt verkrijgen zonder Windows opnieuw te moeten installeren!
Persoonlijke mappen zijn alleen toegankelijk voor het account en worden dus ontoegankelijk voor de andere gebruikersaccounts. De mappen zijn immers niet voor niets persoonlijk gemaakt. Bij het openen van zo'n map krijgt een niet-geautoriseerde gebruiker de foutmelding Toegang geweigerd (XP) of U hebt momenteel geen toegang tot deze map (Vista/7).
Het gebeurt regelmatig dat na het herinstalleren van het besturingssysteem geen toegang meer kan worden verkregen tot mappen of bestanden, terwijl die vóór de herinstallatie wèl bereikbaar waren. Dit probleem ontstaat doordat er aan het nieuw aangemaakte account (nog) geen toegangsrechten voor de betreffende mappen zijn toegewezen.
LET OP: In Windows Vista is dit voor veel mappen standaard het geval. Zie de pagina over gebruikersaccountbeheer en administratorrechten onder Windows Vista voor meer informatie over administratorrechten en het instellen van machtigingen binnen Windows Vista. Deze informatie is overigens ook grotendeels van toepassing op Windows 7.
Met een administratoraccount alsnog de rechten toewijzen
Gelukkig kan met een administratoraccount toch weer toegang tot deze
ontoegankelijke bestandsmappen worden verkregen: klik met rechts
op de betreffende map en kies voor Eigenschappen, tabblad Beveiliging, knop Geavanceerd, tabblad Eigenaar.
Door hier Administrators (of het eigen account) te selecteren, de optie Eigenaar van subcontainers en objecten vervangen
te activeren en af te sluiten met de knop OK, krijgen alle accounts met administratorrechten toegang tot deze map.
TIP: Wordt in Windows XP Pro het tabblad Beveiliging niet weergegeven, vink dan de optie Eenvoudig delen van bestanden gebruiken (aanbevolen) uit in de Windows Verkenner (via Extra, Mapopties, tabblad Weergave). Bij Windows XP Home is dit tabblad alleen toegankelijk in de veilige modus (gebruik de F8-toets tijdens het opstarten van Windows om in de veilige modus terecht te komen).
LET OP: Maak geen wijzigingen in de toegangsrechten van de map Mijn documenten/Documenten van een van de andere gebruikersaccounts, en benoem zeker niet uzelf als enige eigenaar. Voor u er erg in heeft wordt de betreffende gebruiker zelf de toegang tot de eigen bestanden ontzegd...
Voor meer informatie zie de pagina over beheerrechten en het instellen van machtigingen voor het afschermen van gegevens voor andere gebruikers.
Wist u dat opgeslagen gebruikersnamen en wachtwoorden van e-mailaccounts, messenger, bezochte websites, de inbelverbinding (voor toegang tot internet met een modem) en de FTP-verbinding (voor het uploaden van een website) zeer eenvoudig te achterhalen zijn? Met de juiste tools zijn ze zó te achterhalen. Is er toegang tot het gebruikersaccount, dan kunnen deze inloggegevens met wat simpele tools gemakkelijk worden achterhaald.
Password recovery tools
De bekendste password recovery tools staan op de website van NirSoft (download:
www.nirsoft.net). Er zijn tools voor het achterhalen van de gebruikersnaam
en het wachtwoord van het favoriete e-mailprogramma (Mail PassView),
messenger (MessenPass), inbelverbinding (Dialupass), bezochte websites (IE PassView),
netwerkwachtwoorden (Network
Password Recovery),
bureaublad op afstand (Remote Desktop PassView)
en het wachtwoord van een beveiligde draadloze internetverbinding (WirelessKeyView). U zult er versteld
van staan wat hier allemaal mee terug
te halen is!
Met behulp van het programma FTP Password Recovery (download: www.gsmblog.com/freeware) kan het wachtwoord, dat nodig is voor het uploaden van de eigen website, worden onderschept tijdens de communicatie met de FTP-server. Het FTP-wachtwoord wordt namelijk open en bloot meegestuurd, het moge dus duidelijk zijn hoe veilig het wachtwoord is! Bij het controleren van de mailbox gebeurt het meesturen van het wachtwoord overigens op gelijke wijze, reden te meer om regelmatig het wachtwoord te wijzigen!
LET OP: Deze tools zijn zeer krachtig en worden daarom door een aantal virusscanners ten onrechte aangezien voor een virus. In dit specifieke geval kan de virusmelding als een valse melding worden beschouwd.
Beveiligde MS Office-bestanden
Het wachtwoord van een beveiligd Word- of
Excel-document vergeten en is het bestand niet meer
te openen?
Dat hoeft geen probleem te zijn: met Free Word/Excel Password Recovery Software (download:
www.freewordexcelpassword.com) is het wachtwoord
weer te achterhalen. Het duurt
even, maar dan heeft u de inhoud van
het document wel weer terug. Bevat het wachtwoord veel tekens, dan kan
de procedure erg lang duren of zelfs helemaal niet lukken. Conclusie: voor een goede beveiliging is het verstandig
een lang en gevarieerd wachtwoord te kiezen!
Verwijderen wachtwoord van een Excel-werkmap of -blad
Verwijder een vergeten wachtwoord van een Excel-spreadsheet eenvoudig met de
tool
Excel Password Remover 2009 (download:
www.straxx.com/excel/password.html). Deze tool is bedoeld voor het opheffen van de schrijfbeveiliging van een Excel-werkmap of -blad
en dus niet voor het verwijderen van een wachtwoord om het bestand weer te kunnen openen.
Wachtwoordbeveiliging van het moederbord/BIOS
Soms is de computer vanuit het BIOS beveiligd met een wachtwoord. In de meeste gevallen kan dit
wachtwoord worden uitgeschakeld door de batterij op het moederbord voor enige tijd los te halen zodat het BIOS wordt gereset (wees wel voorzichtig, u
doet dit op eigen risico). In enkele gevallen kan het BIOS ook worden gereset door een jumpersetting enkele
seconden te wijzigen terwijl de PC uit staat (zie hiervoor de handleiding van het betreffende moederbord). Beide methoden hebben het nadeel dat de BIOS-instellingen verloren gaan. Dit geldt niet voor CmosPwd (download:
www.cgsecurity.org/wiki/CmosPwd), deze tool kan van veel moederborden het wachtwoord achterhalen, daarvoor is echter wel softwarematig
toegang tot de computer nodig (het gebruik van deze tool is op eigen risico).
Het mag inmiddels duidelijk zijn dat het eenvoudig is persoonlijke gegevens te achterhalen wanneer men fysiek toegang krijgt tot de computer. De inloggegevens moeten dus goed geheim worden gehouden. Het grote aantal verschillende inloggegevens maakt het echter niet gemakkelijk ze allemaal te onthouden, opslaan in een veilige kluis is dan een goed alternatief.
Een digitale kluis voor de inloggegevens
Bent u een security freak en wilt u niets aan het toeval overlaten, dan is het gebruik van een digitale kluis
wellicht een optie. KeePass Password Safe (download:
www.keepass.info) is hiervoor een van de betere (gratis) programma's. KeePass
is beschikbaar in het Nederlands. Voor de Nederlandse taal moet het ZIP-bestand
Dutch worden gedownload bij het onderdeel Translations (http://keepass.info/translations.html). Plaats het uitgepakte bestand
Nederlands.lngx in de map C:\Program Files (x86)\KeePass
Password Safe 2, kies in KeePass voor View, Change Language en dubbelklik op Dutch.
Snel tekst invoeren met Auto-typen
Nadat met Bestand,
Nieuw een digitale kluis is aangemaakt (en van een hoofdwachtwoord
voorzien), kan voor de
verschillende inloggegevens afzonderlijk een eigen regel worden ingevoerd (via Bewerken, Invoer toevoegen). Het vergt een aantal handelingen om de gebruikersnaam en het wachtwoord elk
afzonderlijk naar het klembord te kopiëren om deze vervolgens te plakken tijdens de inlogprocedure van een willekeurige website. Dit
kan eenvoudiger door de gewenste inloglocatie in KeePass te selecteren en met de toetscombinatie CTRL-V het automatisch invoeren (menuoptie
Voer Auto-typen uit) te activeren. Deze truc werkt alleen goed wanneer
KeePass de juiste toetsenbordaanslagen naar de inlogpagina stuurt. Standaard
zijn de toetsenbordaanslagen {USERNAME}{TAB}{PASSWORD}{ENTER} ingesteld, deze
standaard instelling kan in KeePass worden aangepast.
LET OP: Ingevoerde wachtwoorden worden via Beeld, Velden verbergen (asterisken), Wachtwoorden verbergen standaard onzichtbaar gemaakt. Zichtbare wachtwoorden verhogen namelijk weer het beveiligingsrisico wanneer iemand de kans krijgt mee te kijken zonder dat u daar erg in heeft.
Gebruikersgemak versus beveiliging
Het nadeel van dergelijke tools is dat door het vele klikken het gebruikersgemak aanzienlijk vermindert. Daarnaast zijn ze
niet per definitie veilig. Als er een keylogger op de computer wordt geïnstalleerd, zijn de wachtwoorden uiteindelijk toch nog te ontfrutselen.
Daarnaast bestaat het risico dat de database beschadigd raakt en/of dat er niet
meer op ingelogd kan worden zodat alle gegevens ontoegankelijk worden.
Het is altijd zaak een veilig wachtwoord te kiezen, ongeacht waar deze voor wordt gebruikt. Hergebruik van wachtwoorden voor verschillende doeleinden is zeker af te raden. Ook het gebruik van 'persoonlijke' woorden (zoals namen, adresgegevens etc.) is niet verstandig omdat deze vrij eenvoudig met een "woordenboek"-aanval kunnen worden achterhaald. Echter, hoe moeilijker het wachtwoord te onthouden is, hoe nonchalanter men er vaak weer mee omgaat. Kies dus een wachtwoord die voor de persoonlijke situatie het veiligst is, rekening houdend met uw geheugen en karaktereigenschappen...
TIP: Het programma KeePass kan ook worden gebruikt voor het genereren van een veilig wachtwoord (Extra, Wachtwoord generator).
Encryptie van het (draadloos) netwerk
Het wachtwoord van het e-mailaccount wordt in de meeste gevallen dus open en bloot meegestuurd bij het
downloaden van de e-mailberichten. Vindt het downloaden plaats via een draadloze internetverbinding, dan is de kans
aanwezig dat het draadloze verkeer wordt afgetapt. In deze situatie kan het wachtwoord weer eenvoudig worden onderschept!
Dit kan worden voorkomen door gebruik te maken van een beveiligde draadloze verbinding, het liefst eentje met een continu wijzigende versleuteling zoals dat gebeurt bij een WPA-verbinding. Met een VPN-verbinding kan de beveiliging van de internetverbinding nog verder worden opgeschroefd, dit onderwerp is echter te uitgebreid om op deze pagina te behandelen. Meer informatie over de beveiliging van een draadloos netwerk kunt u teruglezen op de pagina over het aanleggen van een (draadloos) netwerk.
Het moge duidelijk zijn dat beveiliging van persoonlijke gegevens binnen Windows op veel fronten tekort schiet. Het is in veel gevallen vrij eenvoudig met behulp van de juiste tools het wachtwoord van een administratoraccount te achterhalen en daarmee toegang te krijgen tot de overige gebruikersaccounts. Daarnaast zijn eigenlijk alle bestanden toegankelijk te maken, mits ze niet met encryptie beveiligd zijn. Met een administratoraccount is het ook mogelijk gebruikersrechten van persoonlijke bestanden toe te eigenen.
Hoe ver wil je gaan met beveiligen?
De vraag is echter hoe ver je wilt gaan met de beveiliging van
de persoonlijke gegevens. Het is alleen realistisch de beveiliging als eerste drempel te
zien zodat niet 1-2-3 kan worden ingelogd. Geef iemand wat meer tijd, dan kunt u inmiddels zelf wel raden hoe ver hij kan komen... Het is
belangrijk de risico's te herkennen zodat een middenweg gekozen kan worden: een afweging tussen goed, praktisch en snel. Wat die middenweg
uiteindelijk zal zijn, verschilt per persoon. Het is namelijk ook belangrijk dat u met plezier achter
de computer kunt zitten, zonder alsmaar rekening te moeten houden met de risico's.
TIP: Met deze kennis in het achterhoofd is het wellicht verstandig ook het onderwerpen encryptie van bestanden en het verwijderen van persoonlijke gegevens een programma als Active@ Eraser te lezen.
Home Windows XP Windows Vista Windows 7 Beveiliging Software Netwerk/internet Herinstallatie Systeembeheer WWW