11 tips om Windows beter te beveiligen
Volgens Microsoft is Windows 10 het veiligste besturingssysteem dat ze ooit hebben uitgebracht. Dat klopt ook wel, maar die claim maakt Microsoft bij elke nieuwe Windows-versie. Hoe dan ook, in dit artikel bekijken we enkele minder bekende beveiligingsfuncties en zie je hoe je die instelt of aanscherpt, al dan niet met behulp van externe tools.
Zelfs als je alle beschikbare of mogelijke beveiligingsfuncties activeert en goed instelt, is je systeem niet 100 procent beschermd tegen alle denkbare calamiteiten. Beveiliging is immers nooit absoluut en gezond verstand blijft een cruciale factor in je verdedigingsstrategie. Met dit besef in het achterhoofd zetten we enkele belangrijke beveiligingsfuncties van Windows 10 op een rij. We focussen ons op beveiliging tegen hackers en malware. Aan onderdelen als Systeemherstel, Windows Hello, BitLocker, Bestandsgeschiedenis en Ouderlijk toezicht gaan we hier (dus) voorbij.
We laten vooral functies aan bod komen waar je als eindgebruiker op soms onvermoede manieren mee te maken krijgt of die om je expliciete input vragen.
01 Secure boot: wat?
Beveiliging begint al zodra je de pc start. Je wilt er namelijk wel zeker van zijn dat je OS en de firmware-drivers niet (door rootkits) zijn aangetast. Om dat tegen te gaan, heeft men aan het bios gesleuteld, wat resulteerde in de zogeheten ‘uefi’ (unified extensible firmware interface). Deze modus kent onder meer de beveiligingsfunctie ‘secure boot’. Die controleert op basis van een digitaal certificaat of de firmware in uefi-apps, option roms en OS-bootloaders wel betrouwbaar is. Alleen dan kan de pc verder opstarten.
Heb je een uefi-systeem en wil je nagaan of secure boot is geactiveerd, druk dan op Windows-toets+R en voer msinfo32 uit. In de rubriek Systeemoverzicht zie je Status beveiligd opstarten aan: Ingeschakeld, Uitgeschakeld of Niet ondersteund. In dit laatste geval biedt je systeem dus geen ondersteuning aan voor secure boot, of je hebt Windows geïnstalleerd in de oudere bios-modus. Bij Bios Modus staat dan de optie Verouderd, in plaats van UEFI.
02 Secure boot: hoe?
Microsoft raadt gebruikers aan Windows in uefi-modus met ingeschakelde secure boot te installeren en die functie steeds ingeschakeld te laten. Om secure boot alsnog in te schakelen druk je op een speciale toets tijdens het opstarten (zoals Esc, F2, F10 of F12) om het uefi/bios-setupvenster te openen. Het lukt overigens ook vanuit Windows zelf. Ga naar Instellingen en kies Bijwerken en beveiliging / Systeemherstel / Nu opnieuw opstarten. Na de herstart kies je Problemen oplossen / Geavanceerde opties / Instellingen voor UEFI-firmware / Opnieuw opstarten, zodat je ook in het uefi/bios-venster belandt. Hier vind je ongetwijfeld een schakeloptie voor secure boot terug.
Secure boot op een uefi-systeem inschakelen, is op zich zeker aan te raden. Het kan gebeuren dat sommige hardware of alternatieve OS’en, zoals minder bekende Linux-distributies die je bijvoorbeeld in dual boot wilt installeren, weigeren te functioneren met ingeschakelde secure boot. Dan zit er weinig anders op dan secure boot uit te schakelen. Mogelijk moet je hiervoor de uefi-modus ook naar bios- of csm (legacy) mode terugschakelen. Let op: had je Windows in uefi-modus geïnstalleerd, dan zal die weigeren nog door te starten.
03 Driververificatie
Heb je inderdaad secure boot geactiveerd, dan krijg je in Windows 64 bit nog met een andere beveiligingsfunctie te maken: driver signature enforcement. Oftewel de verplichte digitale ondertekening door Microsoft van alle kernel mode drivers. Net als secure boot moet ook deze beveiliging voorkomen dat malafide software (stuurprogramma’s in dit geval) je systeem aantasten.
Je kunt zelf nagaan of er niet-gesigneerde-drivers zijn geïnstalleerd. Voor audio- en videodrivers gaat dat als volgt: druk op Windows-toets+R en voer dxdiag uit. Op het tabblad Systeem plaats je, zo nodig, een vinkje bij Controle op digitale handtekeningen van WHQL (Windows Hardware Quality Labs) en bekijk je één voor één de driver-tabbladen. Ga na of er overal wel WHQL Logo’d: Ja staat. Voor een nog grondiger check-up gebruik je het commando Sigverif, dat je bevestigt met Starten. Niet-gesigneerde drivers krijg je na afloop te zien, en anders klik je op Geavanceerd / Logboek weergeven.
Controleer op de site van de fabrikant of er inmiddels een gesigneerde driver beschikbaar is en vervang je oude driver dan door dit exemplaar.
Nu kan het ook wel gebeuren dat je een driver van een wat oudere hardwarecomponent niet geïnstalleerd krijgt door deze beveiliging. Hier vind je verschillend methodes terug om deze beveiliging – bij voorkeur tijdelijk – terug te schroeven.
04 Cfa
Het is de laatste tijd veel in het nieuws: aanvallen met ransomware, waarbij al je kostbare data versleuteld worden en je stevig mag betalen om weer toegang te krijgen tot je gegevens. In Windows 10 zit een anti-ransomwarebeveiliging ingebouwd.
Ga naar Windows Instellingen en kies Bijwerken en beveiliging / Windows-beveiliging / Virus- en bedreigingsbeveiliging. Hier klik je dan op Bescherming tegen ransomware beheren. Zet de schuifknop bij Controlled folder access (cfa) op Aan, bevestig je keuze en klik op Beschermde mappen. Je ziet hier welke mappen standaard beveiligd zijn tegen ransomware, maar via Een beveiligde map toevoegen kun je nog andere locaties afschermen.
Het kan gebeuren dat betrouwbare apps geen toegang tot die mappen krijgen. Met Een app toestaan via Controlled Folder Access geef je zo’n app alsnog je goedkeuring.
05 Anti-ransomwaretools
Loop je met deze anti-ransomwarebeveiliging vaker tegen onterechte blokkades aan dan je lief is, dan kun je eventueel een externe anti-ransomwaretool overwegen. Die werken vaak minder hinderlijk en sommige functioneren ook mooi naast de anti-ransomwarebeveiliging van Windows.
Eén ervan is Kaspersky Anti-Ransomware Tool for Home (de gratis editie is vooral bedoeld als opstapje naar de betaalde variant). In het setup-menu van deze tool kun je zelf vertrouwde apps toevoegen, net als toestellen die jouw pc via het netwerk willen bereiken.
Onze persoonlijke favoriet is het gratis Cybereason RansomFree. Jammer genoeg wordt het programma niet langer doorontwikkeld, maar je kunt het her en der nog wel downloaden. Het opzet maakt dat de tool nog steeds bruikbaar is: het programma creëert op strategische schijflocaties allerlei dummybestanden. Zodra ransomware een van die bestanden tracht te versleutelen slaat de tool alarm en kun je het proces meteen in de kiem smoren. Deze tool werkt goed en geeft ons geen vals alarm. Je hebt er ook geen omkijken naar.
06 Simple SRP
Je kunt het natuurlijk ook over een andere boeg gooien en ervoor zorgen dat alleen nog toepassingen op standaardlocaties zoals \Program Files (x86) mogen worden uitgevoerd, terwijl ze op alle andere locaties worden geblokkeerd.
In Windows Pro en hoger kun je dat voor elkaar krijgen met complexe groepsbeleidsregels (druk op Windows-toets+R en voer gpedit.msc uit), maar het kan veel makkelijker met het gratis Simple Software Restriction Policy, dat ook werkt in Windows Home.
Installeer de tool en herstart Windows: het pictogram verschijnt in het Windows-systeemvak. De beveiliging is normaliter meteen al actief: probeer maar een gedownload programmabestand vanuit een willekeurige map te starten.
Om de beveiliging tijdelijk ongedaan te maken, bijvoorbeeld om een betrouwbaar programma te starten of te installeren, klik je op het pictogram en kies je Unlock. Na 30 minuten schakelt de beveiliging automatisch weer in. Deze wachtperiode valt aan te passen. Klik op Configure, wijzig het aantal minuten in de regel UnlockTimeout=30 en bevestig met Bestand / Opslaan.
Windows Sandbox
07 ConfigureDefender
Bij de paragraaf over CFA las je al hoe je Windows-beveiliging opent. Daar kun je allerlei opties van Windows Defender instellen. Heb je bijvoorbeeld geen andere antimalwaretool, dan zorg je er maar beter voor dat die van Windows actief is: klik op Virus- en beveiligingsbeveiliging / Instellingen beheren, zet Realtime-beveiliging op Aan en doe dit bij voorkeur ook bij Automatisch sample indienen, Cloudbeveiliging en Manipulatiebescherming.
De ingebouwde Windows-beveiliging laat zich ook op andere manieren configureren, zoals met PowerShell en vanuit het register. Er bestaat echter ook een gratis tool die een handige grafische interface biedt voor zowat alle opties van Windows Defender: ConfigureDefender, er zijn versies voor Windows 32 en 64 bit).
Je start deze portable tool door op het gedownloade programmabestand te rechtsklikken en Als administrator uitvoeren te kiezen. Er blijken drie beschermingsniveaus beschikbaar: Default, High en Max. Max is de veiligste optie, maar geeft ook het meeste risico op valse positieven en maakt bovendien dat je Windows Defender alleen nog via ConfigureDefender kunt configureren. High is daarom doorgaans de betere keuze. Met Default kun je op elk moment terugkeren naar de standaardinstellingen van Windows.
08 Eigen configuratie
Je hoeft jezelf natuurlijk niet te beperken tot een van de drie voorgestelde configuraties. Je kunt elk item (van de onderdelen Basic Defender Settings, SmartScreen en Exploit Guard) afzonderlijk instellen. Meestal is het genoeg om de gewenste optie in het uitklapmenu te selecteren, zoals ON of Disabled. Een aantal functies kent een derde optie: Audit. Die activeert de functie wel, maar blokkeert geen processen; er wordt alleen een melding van de gebeurtenis opgenomen in de Windows Logboeken. Om je wijzigingen te activeren, hoef je alleen de knop Refresh in te drukken en Windows te herstarten.
Audit kan nuttig zijn als je eerst wil nagaan of er geen software-incompatibiliteiten optreden. Je kunt dit logboek raadplegen door op Windows-toets+R te drukken, eventvwr.msc te starten en naar Windows-logboeken / Logboeken Toepassingen en Services / Microsoft / Windows Defender / Operational te navigeren. Maar het kan veel eenvoudiger vanuit ConfigureDefender zelf. Met een druk op de knop Defender Security Log krijg je een lijst met de tweehonderd recentste logs van Windows Defender.
09 Evorim Free Firewall
Een firewall is een onmisbaar onderdeel van elke beveiligingsstrategie en de standaard Windows-firewall voldoet prima. Je gaat als volgt na of de firewall is geactiveerd: typ firewall in het Startmenu in en klik op Status van firewall controleren. Staan er rode blokken, dan klik je op Windows Defender Firewall in- of uitschakelen en klik je bij elk netwerktype Windows Defender Firewall inschakelen aan.
De Windows Firewall mag dan wel degelijk zijn, meer gevorderde functies zoals regels voor uitgaand verkeer zijn behoorlijk lastig in te stellen. Daarvoor doen we graag een beroep op de gratis tool Evorim Free Firewall. Die kun je zien als een extensie op de bestaande Windows Firewall. Deze laatste moet dan ook actief zijn, wil je met EFF aan de slag.
De interface is Nederlandstalig, maar gezien de gebrekkige vertaling – Disabled is bijvoorbeeld Invalide in plaats van Uitgeschakeld – geven wij de voorkeur aan Engels: klik op het tandwielpictogram en stel Language in op Engels. Om de firewall te activeren klik je in de rubriek Begin op de grote knop Enabled. Merk hier trouwens ook de noodknop Blockade op, waarmee je in één klik al het netwerkverkeer tegenhoudt.
10 Machtigingen
In ditzelfde venster lees je ook af hoeveel programma’s er gemonitord, geblokkeerd en toegelaten worden. Dat vergt enige toelichting en die vind je in de rubriek Applications. Hier zie je welke machtigingen EFF aan alle gedetecteerde toepassingen heeft toegekend rondom het opzetten van internetverbindingen. Allow all, Deny all en Ask for permission spreken nog voor zich, maar een klein experiment maakt dat nog duidelijker. Wijzig voor de aardigheid maar eens de machtiging bij bijvoorbeeld je favoriete browser in Ask for permission. Zodra je die nu (her)start, zal er een pop-upvenster opduiken waarin EFF je vraagt wat je hiermee wilt doen. Dit venster toont alle afzonderlijke internetverbindingen die de applicatie wil opzetten. Die kun je weliswaar afzonderlijk verbieden (Prohibit) of toelaten (Allow), maar waarschijnlijk wil je alle verbindingen voor deze applicatie in één keer toestaan (Allow all) of blokkeren (Deny all). Je keuze staat meteen in de rubriek Applications.
Nuttig is ook de rubriek Events. Die bezorgt je een overzicht van de recente verbindingspogingen van de diverse toepassingen. Met de knoppen kun je hier dan alsnog je goed- of afkeuring aan geven, hetzij voor specifieke verbindingen, hetzij voor alle verbindingen tegelijk met de knoppen bovenaan.
11 Regels
We kunnen ons voorstellen dat je als gevorderde gebruiker voor bepaalde applicaties specifieke firewallregels op wilt stellen. Te denken valt aan regels die een toepassing wel een internetverbinding laten opzetten, maar niet met een specifiek ip-bereik, bijvoorbeeld dat van een advertentienetwerk. Ook dat is mogelijk met Free Firewall.
Open de rubriek Applications en klik op het pijltje bij de betreffende applicatie. Kies Edit rules, geef een duidelijke regelnaam op en druk op de knop Add rule. Je kunt nu het domein, ip-adres of het ip-bereik ingeven, zoals adverts.com, 80.70.60.50 of 24.35.0.1/16, en Block in plaats van Allow selecteren. Bij Last rule leg je de regel vast die moet worden uitgevoerd als geen van de domeinen of ip-adressen uit de toegevoegde regel(s) werd gevonden. Bevestig de aanpassingen met Save.
