Deze pagina besteedt aandacht aan de beveiliging van de Windows-inlogprocedure, de perikelen rondom gebruikers- en administratoraccounts en de beveiliging van persoonlijke bestanden. Veel gebruikers beveiligen hun gebruikersaccount met een wachtwoord en denken (vaak ten onrechte) dat daarmee hun gegevens veilig zijn.
Een wachtwoord is echter hooguit een eerste veiligheidsdrempel die ervoor zorgt dat een onbevoegde niet zomaar even kan inloggen. Krijgt een ongenode gast rustig de tijd, dan kan deze zonder problemen toegang verkrijgen tot vele persoonlijke bestanden én inloggegevens!
LET OP: In Windows 8/7/Vista is het beveiligingsniveau sterk verhoogd. Hoewel veel informatie op deze pagina ook van toepassing is op Windows 8/7/Vista, zijn deze teksten voornamelijk van toepassing voor een Windows XP-installatie.
Bij het inloggen toont Windows standaard het welkomstscherm met daarin de verschillende gebruikers. Bij een systeem met maar één gebruikersaccount (zonder wachtwoord) wordt het welkomstscherm zelfs overgeslagen en wordt direct doorgestart naar het bureaublad. Deze instellingen zorgen ervoor dat een ongenode gast wel erg gemakkelijk toegang kan krijgen tot het systeem! Dit risico kan worden verlaagd met een aanpassing van de inlogprocedure zodat Windows het welkomstscherm met de verschillende gebruikersaccounts niet meer toont. Ga hiervoor naar het onderdeel Gebruikersaccounts van het configuratiescherm en kies voor De manier waarop gebruikers zich aan- en afmelden wijzigen, deactiveer de optie Het welkomstscherm gebruiken. Deze aanpassing maakt het noodzakelijk eerst de gebruikersnaam en het wachtwoord handmatig in te voeren alvorens toegang tot een account wordt verkregen.
Nadat een gebruiker zich heeft afgemeld, wordt het
vergrendelingsscherm actief.
In dit scherm staan alle gebruikersaccounts al vermeld, er is dus alleen nog een
wachtwoord nodig om op een account in te loggen. Is het uit beveiligingsoogpunt
gewenst dat zowel de gebruikersnaam als het wachtwoord moet worden opgegeven,
dan kan dat via een registertweak worden ingesteld. Wijzig met de
registereditor de waarde DontDisplayLastUsername in 1 in de registersleutel:
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
Moet Windows bij het ontwaken uit de stand-by-/slaapstand naar een wachtwoord vragen? Deze optie kan worden ge(de)activeerd bij het onderdeel Energiebeheer van het configuratiescherm. Vervolgens kan deze optie bij Windows XP worden gewijzigd via het tabblad Geavanceerd, optie Wachtwoord vragen als computer uit stand-by wordt gehaald en bij Windows 8/7/Vista via de taak Een wachtwoord vereisen bij uit slaapstand komen (activeer wel eerst de optie Instellingen wijzigen die momenteel niet beschikbaar zijn).
Pas de in het welkomstscherm weer te geven gebruikersaccounts aan met TweakUI, tabblad Logon. Bij het sub-tabblad Unread Mail kan tevens de weergave van het aantal ongelezen e-mailberichten bij de verschillende gebruikers in het welkomstscherm worden uitgeschakeld.
Veel Windows-gebruikers denken dat de toegang tot de persoonlijke gegevens afdoende wordt beveiligd door het account te voorzien van een wachtwoord. Een wachtwoord blijkt echter met de juiste tools niet al te ingewikkeld te omzeilen. En met een tweede administratoraccount is het vrij eenvoudig toegangsrechten tot beveiligde accounts en persoonlijk gemaakte bestanden te verkrijgen! Waan u dus niet al te snel veilig, dergelijke beveiligingen zijn slechts een eerste verdedigingslinie! Iemand met fysieke toegang tot de computer kan toegang krijgen tot meer informatie dan u voor mogelijk houdt...
Alleen met een administratoraccount kunnen belangrijke systeemwijzigingen worden doorgevoerd. Naast de zelf aangemaakte administratoraccounts is Windows standaard voorzien van een verborgen administratoraccount met de naam Administrator. Ook Windows Vista heeft een standaard administratoraccount (zonder wachtwoord) met de naam Administrator (deze wordt echter alleen zichtbaar nadat de overige administratoraccounts zijn verwijderd). Hiermee wordt voorkomen dat er geen toegang meer tot het systeem is wanneer per ongeluk alle administratoraccounts worden verwijderd. Zolang er toegang tot een van de administratoraccounts is, kan er ook toegang worden verkregen tot de andere accounts.
TIP: Met het commando net user administrator /active:yes in een Opdrachtvenster kan het administratoraccount zichtbaar worden gemaakt. Vervang yes door no om deze weer te verbergen.
Tijdens de installatie van Windows XP Pro wordt gevraagd om een wachtwoord voor het standaard administratoraccount, bij de installatie van Windows XP Home wordt deze vraag achterwege gelaten. Door op te starten in de veilige modus (door op F8 te drukken tijdens het opstarten van Windows) en in te loggen met het standaard administratoraccount (wat zeker geen probleem oplevert wanneer er geen wachtwoord is opgegeven!) kan dus toegang tot alle gebruikersaccounts worden verkregen. Is de beveiliging van de persoonlijke gegevens belangrijk, dan is het verstandig het administratoraccount via de veilige modus alsnog te voorzien van een wachtwoord!
LET OP: Er kan met meerdere administratoraccounts binnen één systeem worden gewerkt. Bij het aanmaken van een nieuw account wordt altijd het gewenste type gevraagd: een account met beheerrechten (administratoraccount) of een account met beperkte mogelijkheden (standaardgebruiker). Welke accounts administratorrechten hebben, is in te zien (én te wijzigen) bij het onderdeel Gebruikersaccounts in het configuratiescherm.
Maar wat te doen wanneer u het wachtwoord van het administratoraccount niet meer weet? Op de pagina over opstartbare CD’s worden de tools Ophcrack (download: http://ophcrack.sourceforge.net) en Offline NT Password & Registry Editor (download: http://pogostick.net/~pnh/ntpasswd) als mogelijke oplossing genoemd. Deze tools zijn bruikbaar voor het achterhalen en/of het overschrijven van het wachtwoord van een Windows NT, 2000, XP, 2003 of Vista systeem. Erg handig wanneer u het wachtwoord van het administratoraccount bent vergeten en toch nog toegang wilt verkrijgen zonder Windows opnieuw te moeten installeren!
Persoonlijke mappen zijn alleen toegankelijk voor het account en worden dus ontoegankelijk voor de andere gebruikersaccounts. De mappen zijn immers niet voor niets persoonlijk gemaakt. Bij het openen van zo'n map krijgt een niet-geautoriseerde gebruiker de foutmelding Toegang geweigerd (XP) of U hebt momenteel geen toegang tot deze map.
Het gebeurt regelmatig dat na het herinstalleren van het besturingssysteem geen toegang meer kan worden verkregen tot mappen of bestanden, terwijl die vóór de herinstallatie wél bereikbaar waren. Dit probleem ontstaat doordat er aan het nieuw aangemaakte account (nog) geen toegangsrechten voor de betreffende mappen zijn toegewezen.
Gelukkig kan met een administratoraccount toch weer toegang tot deze ontoegankelijke bestandsmappen worden verkregen: klik met rechts op de betreffende map en kies voor Eigenschappen, tabblad Beveiliging, knop Geavanceerd, tabblad Eigenaar. Door hier Administrators (of het eigen account) te selecteren, de optie Eigenaar van subcontainers en objecten vervangen te activeren en af te sluiten met de knop OK, krijgen alle accounts met administratorrechten toegang tot deze map.
TIP: Wordt in Windows XP Pro het tabblad Beveiliging niet weergegeven, vink dan de optie Eenvoudig delen van bestanden gebruiken (aanbevolen) uit in de Windows Verkenner (via Extra, Mapopties, tabblad Weergave). Bij Windows XP Home is dit tabblad alleen toegankelijk in de veilige modus.
LET OP: Maak geen wijzigingen in de toegangsrechten van de map Mijn documenten/Documenten van een van de andere gebruikersaccounts, en benoem zeker niet jezelf als enige eigenaar. Voor u er erg in heeft wordt de betreffende gebruiker zelf de toegang tot de eigen bestanden ontzegd...
Voor meer informatie zie de pagina over beheerrechten en het instellen van machtigingen voor het afschermen van gegevens voor andere gebruikers.
Wist u dat opgeslagen gebruikersnamen en wachtwoorden van e-mailaccounts, messenger, bezochte websites, de inbelverbinding (voor toegang tot internet met een modem) en de FTP-verbinding (voor het uploaden van een website) zeer eenvoudig te achterhalen zijn? Is er namelijk toegang tot het gebruikersaccount dan zijn deze inloggegevens met wat simpele tools gemakkelijk te vinden.
Password
recoverytools
De bekendste password recoverytools staan op de website van NirSoft (download:
www.nirsoft.net). Er zijn tools voor het achterhalen van de gebruikersnaam
en het wachtwoord van het favoriete e-mailprogramma (Mail PassView),
messenger (MessenPass), inbelverbinding (Dialupass), bezochte websites (WebBrowserPassView),
netwerkwachtwoorden (Network
Password Recovery),
bureaublad op afstand (Remote Desktop PassView)
en het wachtwoord van een beveiligde draadloze internetverbinding (WirelessKeyView). U zult er versteld
van staan wat hier allemaal mee terug
te halen is!
Met behulp van het programma FTP SniffPass (download: www.nirsoft.net/utils/password_sniffer.html) kan het wachtwoord, dat nodig is voor het uploaden van de eigen website, worden onderschept tijdens de communicatie met de FTP-server. Het FTP-wachtwoord wordt namelijk open en bloot meegestuurd, het moge dus duidelijk zijn hoe veilig het wachtwoord is! Bij het controleren van de mailbox gebeurt het meesturen van het wachtwoord overigens op gelijke wijze, reden te meer om regelmatig het wachtwoord te wijzigen!
LET OP: Deze tools zijn zeer krachtig en worden daarom door een aantal virusscanners ten onrechte aangezien voor een virus. In dit specifieke geval kan de virusmelding als een valse melding worden beschouwd.
Soms is de computer vanuit het BIOS beveiligd met een wachtwoord. In de meeste gevallen kan dit wachtwoord worden uitgeschakeld door de batterij op het moederbord voor enige tijd los te halen zodat het BIOS wordt gereset (wees wel voorzichtig, u doet dit op eigen risico). In enkele gevallen kan het BIOS ook worden gereset door een jumpersetting enkele seconden te wijzigen terwijl de PC uit staat (zie hiervoor de handleiding van het betreffende moederbord). Beide methoden hebben het nadeel dat de BIOS-instellingen verloren gaan. Dit geldt niet voor CmosPwd (download: www.cgsecurity.org/wiki/CmosPwd), deze tool kan van veel moederborden het wachtwoord achterhalen, daarvoor is echter wel softwarematig toegang tot de computer nodig (het gebruik van deze tool is op eigen risico).
Het mag inmiddels duidelijk zijn dat het eenvoudig is persoonlijke gegevens te achterhalen wanneer men fysiek toegang krijgt tot de computer. De inloggegevens moeten dus goed geheim worden gehouden. Het grote aantal verschillende inloggegevens maakt het echter niet gemakkelijk ze allemaal te onthouden, opslaan in een veilige kluis is dan een goed alternatief.
Bent u een security freak en wilt u niets aan het toeval overlaten, dan is het gebruik van een digitale kluis wellicht een optie. KeePass Password Safe (download: www.keepass.info) is hiervoor een van de betere (gratis) programma's. KeePass is beschikbaar in het Nederlands. Voor de Nederlandse taal moet het ZIP-bestand Dutch worden gedownload bij het onderdeel Translations (http://keepass.info/translations.html). Plaats het uitgepakte bestand Nederlands.lngx in de map C:\Program Files (x86)\KeePass Password Safe 2, kies in KeePass voor View, Change Language en dubbelklik op Dutch.
Nadat met Bestand, Nieuw een digitale kluis is aangemaakt (en van een hoofdwachtwoord voorzien), kan voor de verschillende inloggegevens afzonderlijk een eigen regel worden ingevoerd (via Bewerken, Invoer toevoegen). Het vergt een aantal handelingen om de gebruikersnaam en het wachtwoord elk afzonderlijk naar het klembord te kopiëren en vervolgens tijdens de inlogprocedure van een willekeurige website te plakken. Dit kan eenvoudiger door de gewenste inloglocatie in KeePass te selecteren en met de toetscombinatie Ctrl-V het automatisch invoeren (menuoptie Voer Auto-typen uit) te activeren. Deze truc werkt alleen goed wanneer KeePass de juiste toetsenbordaanslagen naar de inlogpagina stuurt. De standaard ingestelde toetsenbordaanslagen {USERNAME}{TAB}{PASSWORD}{ENTER} kunnen eventueel worden aangepast. Als alternatief op de Auto-typen-optie zou de toetscombinatie Ctrl-U gebruikt kunnen worden. Deze optie werkt vooral efficiënt wanneer regelmatig dezelfde website wordt bezocht (bijvoorbeeld bij internetbankieren).
LET OP: Ingevoerde wachtwoorden worden via Beeld, Velden verbergen (asterisken), Wachtwoorden verbergen standaard onzichtbaar gemaakt. Zichtbare wachtwoorden verhogen namelijk weer het beveiligingsrisico wanneer iemand de kans krijgt mee te kijken zonder dat u daar erg in heeft.
Wees er bewust van dat dergelijke password-tools niet per definitie veilig zijn. Als een key-logger op de computer wordt geïnstalleerd, zijn de wachtwoorden uiteindelijk toch nog te ontfrutselen. Daarnaast bestaat het risico dat de database beschadigd raakt en/of dat er niet meer op ingelogd kan worden zodat alle gegevens ontoegankelijk worden, zorg dus altijd voor een (leesbare) back-up!
Het is altijd zaak een veilig wachtwoord te kiezen, ongeacht waar deze voor wordt gebruikt. Hergebruik van wachtwoorden voor verschillende doeleinden is zeker af te raden. Ook het gebruik van 'persoonlijke' woorden (zoals namen, adresgegevens etc.) is niet verstandig omdat deze vrij eenvoudig met een "woordenboek"-aanval kunnen worden achterhaald. Echter, hoe moeilijker het wachtwoord te onthouden is, hoe nonchalanter men er vaak weer mee omgaat. Kies dus een wachtwoord die voor de persoonlijke situatie het veiligst is, rekening houdend met uw geheugen en karaktereigenschappen...
TIP: Het programma KeePass kan ook worden gebruikt voor het genereren van een veilig wachtwoord (Extra, Wachtwoord generator).
Het wachtwoord van het e-mailaccount wordt in de meeste gevallen dus open en bloot meegestuurd bij het downloaden van de e-mailberichten. Vindt het downloaden plaats via een draadloze internetverbinding, dan is de kans aanwezig dat het draadloze verkeer wordt afgetapt. In deze situatie kan het wachtwoord weer eenvoudig worden onderschept!
Dit kan worden voorkomen door gebruik te maken van een beveiligde draadloze verbinding, het liefst eentje met een continu wijzigende versleuteling zoals dat gebeurt bij een WPA-verbinding. Met een VPN-verbinding kan de beveiliging van de internetverbinding nog verder worden opgeschroefd, dit onderwerp is echter te uitgebreid om op deze pagina te behandelen. Meer informatie over de beveiliging van een draadloos netwerk kunt u teruglezen op de pagina over het aanleggen van een (draadloos) netwerk.
Het moge duidelijk zijn dat beveiliging van persoonlijke gegevens binnen Windows op veel fronten tekort schiet. Het is in veel gevallen vrij eenvoudig met behulp van de juiste tools het wachtwoord van een administratoraccount te achterhalen en daarmee toegang te krijgen tot de overige gebruikersaccounts. Daarnaast zijn eigenlijk alle bestanden toegankelijk te maken, mits ze niet met encryptie beveiligd zijn. Met een administratoraccount is het ook mogelijk gebruikersrechten van persoonlijke bestanden toe te eigenen.
De vraag is echter hoe ver je wilt gaan met de beveiliging van de persoonlijke gegevens. Het is alleen realistisch de beveiliging als eerste drempel te zien zodat niet 1-2-3 kan worden ingelogd. Geef iemand wat meer tijd, dan kunt u inmiddels zelf wel raden hoe ver hij kan komen... Het is belangrijk de risico's te herkennen zodat een middenweg gekozen kan worden: een afweging tussen goed, praktisch en snel. Wat die middenweg uiteindelijk zal zijn, verschilt per persoon. Het is namelijk ook belangrijk dat u met plezier achter de computer kunt zitten, zonder alsmaar rekening te moeten houden met de risico's.
TIP: Met deze kennis in het achterhoofd is het wellicht verstandig ook het onderwerpen encryptie van bestanden en het verwijderen van persoonlijke gegevens een programma als Hard Disk Scrubber te lezen.
© 2001-2024 - Menno Schoone - SchoonePC - Rotterdam - Privacyverklaring