11 tips om Windows beter te beveiligen

Door: Toon van Daele | 15 juni 2020 06:02

Sleutel deur beveiliging
How To

Volgens Microsoft is Windows 10 het veiligste besturingssysteem dat ze ooit hebben uitgebracht. Dat klopt ook wel, maar die claim maakt Microsoft bij elke nieuwe Windows-versie. Hoe dan ook, in dit artikel bekijken we enkele minder bekende beveiligingsfuncties en zie je hoe je die instelt of aanscherpt, al dan niet met behulp van externe tools.

Zelfs als je alle beschikbare of mogelijke beveiligingsfuncties activeert en goed instelt, is je systeem niet 100 procent beschermd tegen alle denkbare calamiteiten. Beveiliging is immers nooit absoluut en gezond verstand blijft een cruciale factor in je verdedigingsstrategie. Met dit besef in het achterhoofd zetten we enkele belangrijke beveiligingsfuncties van Windows 10 op een rij. We focussen ons op beveiliging tegen hackers en malware. Aan onderdelen als Systeemherstel, Windows Hello, BitLocker, Bestandsgeschiedenis en Ouderlijk toezicht gaan we hier (dus) voorbij.

We laten vooral functies aan bod komen waar je als eindgebruiker op soms onvermoede manieren mee te maken krijgt of die om je expliciete input vragen.

01 Secure boot: wat?

Beveiliging begint al zodra je de pc start. Je wilt er namelijk wel zeker van zijn dat je OS en de firmware-drivers niet (door rootkits) zijn aangetast. Om dat tegen te gaan, heeft men aan het bios gesleuteld, wat resulteerde in de zogeheten ‘uefi’ (unified extensible firmware interface). Deze modus kent onder meer de beveiligingsfunctie ‘secure boot’. Die controleert op basis van een digitaal certificaat of de firmware in uefi-apps, option roms en OS-bootloaders wel betrouwbaar is. Alleen dan kan de pc verder opstarten.

Heb je een uefi-systeem en wil je nagaan of secure boot is geactiveerd, druk dan op Windows-toets+R en voer msinfo32 uit. In de rubriek Systeemoverzicht zie je Status beveiligd opstarten aan: Ingeschakeld, Uitgeschakeld of Niet ondersteund. In dit laatste geval biedt je systeem dus geen ondersteuning aan voor secure boot, of je hebt Windows geïnstalleerd in de oudere bios-modus. Bij Bios Modus staat dan de optie Verouderd, in plaats van UEFI.

Pech, maar dit uefi-systeem ondersteunt blijkbaar geen secure boot.

02 Secure boot: hoe?

Microsoft raadt gebruikers aan Windows in uefi-modus met ingeschakelde secure boot te installeren en die functie steeds ingeschakeld te laten. Om secure boot alsnog in te schakelen druk je op een speciale toets tijdens het opstarten (zoals Esc, F2, F10 of F12) om het uefi/bios-setupvenster te openen. Het lukt overigens ook vanuit Windows zelf. Ga naar Instellingen en kies Bijwerken en beveiliging / Systeemherstel / Nu opnieuw opstarten. Na de herstart kies je Problemen oplossen / Geavanceerde opties / Instellingen voor UEFI-firmware / Opnieuw opstarten, zodat je ook in het uefi/bios-venster belandt. Hier vind je ongetwijfeld een schakeloptie voor secure boot terug.

Secure boot op een uefi-systeem inschakelen, is op zich zeker aan te raden. Het kan gebeuren dat sommige hardware of alternatieve OS’en, zoals minder bekende Linux-distributies die je bijvoorbeeld in dual boot wilt installeren, weigeren te functioneren met ingeschakelde secure boot. Dan zit er weinig anders op dan secure boot uit te schakelen. Mogelijk moet je hiervoor de uefi-modus ook naar bios- of csm (legacy) mode terugschakelen. Let op: had je Windows in uefi-modus geïnstalleerd, dan zal die weigeren nog door te starten.

Vanuit Windows kom je uiteindelijk ook wel in het uefi-setupvenster.

03 Driververificatie

Heb je inderdaad secure boot geactiveerd, dan krijg je in Windows 64 bit nog met een andere beveiligingsfunctie te maken: driver signature enforcement. Oftewel de verplichte digitale ondertekening door Microsoft van alle kernel mode drivers. Net als secure boot moet ook deze beveiliging voorkomen dat malafide software (stuurprogramma’s in dit geval) je systeem aantasten.

Je kunt zelf nagaan of er niet-gesigneerde-drivers zijn geïnstalleerd. Voor audio- en videodrivers gaat dat als volgt: druk op Windows-toets+R en voer dxdiag uit. Op het tabblad Systeem plaats je, zo nodig, een vinkje bij Controle op digitale handtekeningen van WHQL (Windows Hardware Quality Labs) en bekijk je één voor één de driver-tabbladen. Ga na of er overal wel WHQL Logo’d: Ja staat. Voor een nog grondiger check-up gebruik je het commando Sigverif, dat je bevestigt met Starten. Niet-gesigneerde drivers krijg je na afloop te zien, en anders klik je op Geavanceerd / Logboek weergeven.

Controleer op de site van de fabrikant of er inmiddels een gesigneerde driver beschikbaar is en vervang je oude driver dan door dit exemplaar.

Nu kan het ook wel gebeuren dat je een driver van een wat oudere hardwarecomponent niet geïnstalleerd krijgt door deze beveiliging. Hier vind je verschillend methodes terug om deze beveiliging – bij voorkeur tijdelijk – terug te schroeven.

Alle 249 gedetecteerde apparaat-stuurprogramma’s zijn netjes ondertekend.

04 Cfa

Het is de laatste tijd veel in het nieuws: aanvallen met ransomware, waarbij al je kostbare data versleuteld worden en je stevig mag betalen om weer toegang te krijgen tot je gegevens. In Windows 10 zit een anti-ransomwarebeveiliging ingebouwd.

Ga naar Windows Instellingen en kies Bijwerken en beveiliging / Windows-beveiliging / Virus- en bedreigingsbeveiliging. Hier klik je dan op Bescherming tegen ransomware beheren. Zet de schuifknop bij Controlled folder access (cfa) op Aan, bevestig je keuze en klik op Beschermde mappen. Je ziet hier welke mappen standaard beveiligd zijn tegen ransomware, maar via Een beveiligde map toevoegen kun je nog andere locaties afschermen.

Het kan gebeuren dat betrouwbare apps geen toegang tot die mappen krijgen. Met Een app toestaan via Controlled Folder Access geef je zo’n app alsnog je goedkeuring.

Je bepaalt zelf welke mappen beschermd moeten worden en welke apps groen licht krijgen.

05 Anti-ransomwaretools

Loop je met deze anti-ransomwarebeveiliging vaker tegen onterechte blokkades aan dan je lief is, dan kun je eventueel een externe anti-ransomwaretool overwegen. Die werken vaak minder hinderlijk en sommige functioneren ook mooi naast de anti-ransomwarebeveiliging van Windows.

Eén ervan is Kaspersky Anti-Ransomware Tool for Home (de gratis editie is vooral bedoeld als opstapje naar de betaalde variant). In het setup-menu van deze tool kun je zelf vertrouwde apps toevoegen, net als toestellen die jouw pc via het netwerk willen bereiken.

Onze persoonlijke favoriet is het gratis Cybereason RansomFree. Jammer genoeg wordt het programma niet langer doorontwikkeld, maar je kunt het her en der nog wel downloaden. Het opzet maakt dat de tool nog steeds bruikbaar is: het programma creëert op strategische schijflocaties allerlei dummybestanden. Zodra ransomware een van die bestanden tracht te versleutelen slaat de tool alarm en kun je het proces meteen in de kiem smoren. Deze tool werkt goed en geeft ons geen vals alarm. Je hebt er ook geen omkijken naar.

Cybereason RansomFree signaleert een potentieel verdachte bestandsbewerking.

06 Simple SRP

Je kunt het natuurlijk ook over een andere boeg gooien en ervoor zorgen dat alleen nog toepassingen op standaardlocaties zoals \Program Files (x86) mogen worden uitgevoerd, terwijl ze op alle andere locaties worden geblokkeerd.

In Windows Pro en hoger kun je dat voor elkaar krijgen met complexe groepsbeleidsregels (druk op Windows-toets+R en voer gpedit.msc uit), maar het kan veel makkelijker met het gratis Simple Software Restriction Policy, dat ook werkt in Windows Home.

Installeer de tool en herstart Windows: het pictogram verschijnt in het Windows-systeemvak. De beveiliging is normaliter meteen al actief: probeer maar een gedownload programmabestand vanuit een willekeurige map te starten.

Om de beveiliging tijdelijk ongedaan te maken, bijvoorbeeld om een betrouwbaar programma te starten of te installeren, klik je op het pictogram en kies je Unlock. Na 30 minuten schakelt de beveiliging automatisch weer in. Deze wachtperiode valt aan te passen. Klik op Configure, wijzig het aantal minuten in de regel UnlockTimeout=30 en bevestig met Bestand / Opslaan.

Met een muisklik laat je alleen nog toepassingen toe vanuit standaardlocaties.

Windows Sandbox

In Windows 10 64 bit 1903 Pro of hoger kun je op een andere manier dubieuze software en websites veilig uitproberen: met de ingebouwde Sandbox. Hiermee start je een virtuele desktopomgeving op waarbinnen je, zonder risico op besmetting van je normale werkomgeving, willekeurige bestanden, sites en software kunt openen. Zodra je de Sandbox afsluit, gaan alle wijzigingen verloren.

Je moet deze functie wel eerst activeren. Druk op Windows-toets+R, voer optionalfeatures uit, scrol naar Windows Sandbox, zet hier een vinkje en klik op OK. Zodra je Windows hebt herstart, is Windows Sandbox beschikbaar vanuit het Startmenu.

Lukt het niet? Ga dan na of de hardwarematige virtualisatiefunctie in je uefi/bios wel is ingeschakeld. Dat kun je ook als volgt checken: druk op Ctrl+Shift+Esc en open het tabblad Prestaties. Als het goed is, staat hier rechtsonder Virtualisatie: Ingeschakeld.

Een gratis alternatief is overigens Sandboxie, dat ook bruikbaar is in Windows Home.

Normaliter moet je de ingebouwde Sandbox-functie eerst activeren.

07 ConfigureDefender

Bij de paragraaf over CFA las je al hoe je Windows-beveiliging opent. Daar kun je allerlei opties van Windows Defender instellen. Heb je bijvoorbeeld geen andere antimalwaretool, dan zorg je er maar beter voor dat die van Windows actief is: klik op Virus- en beveiligingsbeveiliging / Instellingen beheren, zet Realtime-beveiliging op Aan en doe dit bij voorkeur ook bij Automatisch sample indienen, Cloudbeveiliging en Manipulatiebescherming.

De ingebouwde Windows-beveiliging laat zich ook op andere manieren configureren, zoals met PowerShell en vanuit het register. Er bestaat echter ook een gratis tool die een handige grafische interface biedt voor zowat alle opties van Windows Defender: ConfigureDefender, er zijn versies voor Windows 32 en 64 bit).

Je start deze portable tool door op het gedownloade programmabestand te rechtsklikken en Als administrator uitvoeren te kiezen. Er blijken drie beschermingsniveaus beschikbaar: Default, High en Max. Max is de veiligste optie, maar geeft ook het meeste risico op valse positieven en maakt bovendien dat je Windows Defender alleen nog via ConfigureDefender kunt configureren. High is daarom doorgaans de betere keuze. Met Default kun je op elk moment terugkeren naar de standaardinstellingen van Windows.

Met één druk op de knop stel je Windows Defender in op het gewenste beveiligingsniveau.

08 Eigen configuratie

Je hoeft jezelf natuurlijk niet te beperken tot een van de drie voorgestelde configuraties. Je kunt elk item (van de onderdelen Basic Defender Settings, SmartScreen en Exploit Guard) afzonderlijk instellen. Meestal is het genoeg om de gewenste optie in het uitklapmenu te selecteren, zoals ON of Disabled. Een aantal functies kent een derde optie: Audit. Die activeert de functie wel, maar blokkeert geen processen; er wordt alleen een melding van de gebeurtenis opgenomen in de Windows Logboeken. Om je wijzigingen te activeren, hoef je alleen de knop Refresh in te drukken en Windows te herstarten.

Audit kan nuttig zijn als je eerst wil nagaan of er geen software-incompatibiliteiten optreden. Je kunt dit logboek raadplegen door op Windows-toets+R te drukken, eventvwr.msc te starten en naar Windows-logboeken / Logboeken Toepassingen en Services / Microsoft / Windows Defender / Operational te navigeren. Maar het kan veel eenvoudiger vanuit ConfigureDefender zelf. Met een druk op de knop Defender Security Log krijg je een lijst met de tweehonderd recentste logs van Windows Defender.

De audit-modus activeert de functie wel, maar logt alleen en blokkeert niets.

09 Evorim Free Firewall

Een firewall is een onmisbaar onderdeel van elke beveiligingsstrategie en de standaard Windows-firewall voldoet prima. Je gaat als volgt na of de firewall is geactiveerd: typ firewall in het Startmenu in en klik op Status van firewall controleren. Staan er rode blokken, dan klik je op Windows Defender Firewall in- of uitschakelen en klik je bij elk netwerktype Windows Defender Firewall inschakelen aan.

De Windows Firewall mag dan wel degelijk zijn, meer gevorderde functies zoals regels voor uitgaand verkeer zijn behoorlijk lastig in te stellen. Daarvoor doen we graag een beroep op de gratis tool Evorim Free Firewall. Die kun je zien als een extensie op de bestaande Windows Firewall. Deze laatste moet dan ook actief zijn, wil je met EFF aan de slag.

De interface is Nederlandstalig, maar gezien de gebrekkige vertaling – Disabled is bijvoorbeeld Invalide in plaats van Uitgeschakeld – geven wij de voorkeur aan Engels: klik op het tandwielpictogram en stel Language in op Engels. Om de firewall te activeren klik je in de rubriek Begin op de grote knop Enabled. Merk hier trouwens ook de noodknop Blockade op, waarmee je in één klik al het netwerkverkeer tegenhoudt.

Met één druk op de knop worden je applicaties gecontroleerd en je netwerkverkeer gemonitord.

10 Machtigingen

In ditzelfde venster lees je ook af hoeveel programma’s er gemonitord, geblokkeerd en toegelaten worden. Dat vergt enige toelichting en die vind je in de rubriek Applications. Hier zie je welke machtigingen EFF aan alle gedetecteerde toepassingen heeft toegekend rondom het opzetten van internetverbindingen. Allow all, Deny all en Ask for permission spreken nog voor zich, maar een klein experiment maakt dat nog duidelijker. Wijzig voor de aardigheid maar eens de machtiging bij bijvoorbeeld je favoriete browser in Ask for permission. Zodra je die nu (her)start, zal er een pop-upvenster opduiken waarin EFF je vraagt wat je hiermee wilt doen. Dit venster toont alle afzonderlijke internetverbindingen die de applicatie wil opzetten. Die kun je weliswaar afzonderlijk verbieden (Prohibit) of toelaten (Allow), maar waarschijnlijk wil je alle verbindingen voor deze applicatie in één keer toestaan (Allow all) of blokkeren (Deny all). Je keuze staat meteen in de rubriek Applications.

Nuttig is ook de rubriek Events. Die bezorgt je een overzicht van de recente verbindingspogingen van de diverse toepassingen. Met de knoppen kun je hier dan alsnog je goed- of afkeuring aan geven, hetzij voor specifieke verbindingen, hetzij voor alle verbindingen tegelijk met de knoppen bovenaan.

Je kunt je toestemming voor specifieke of voor alle verbindingen van een applicatie geven.

11 Regels

We kunnen ons voorstellen dat je als gevorderde gebruiker voor bepaalde applicaties specifieke firewallregels op wilt stellen. Te denken valt aan regels die een toepassing wel een internetverbinding laten opzetten, maar niet met een specifiek ip-bereik, bijvoorbeeld dat van een advertentienetwerk. Ook dat is mogelijk met Free Firewall.

Open de rubriek Applications en klik op het pijltje bij de betreffende applicatie. Kies Edit rules, geef een duidelijke regelnaam op en druk op de knop Add rule. Je kunt nu het domein, ip-adres of het ip-bereik ingeven, zoals adverts.com, 80.70.60.50 of 24.35.0.1/16, en Block in plaats van Allow selecteren. Bij Last rule leg je de regel vast die moet worden uitgevoerd als geen van de domeinen of ip-adressen uit de toegevoegde regel(s) werd gevonden. Bevestig de aanpassingen met Save.

11 Je kunt per applicatie specifieke firewallregels vastleggen.

2 Reactie(s) op: 11 tips om Windows beter te beveiligen

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 16 juni 2020 13:09 AlbertKnop
    Ik kan controled folder acces niet inschakelen (tip 04) omdat ik realtime beveilinging niet in kan schakelen. De melding is dat ik andere anti-virus providers gebruik. Dat klopt omdat ik comodo en Iobit Malware fighter (inkl. Anti Ransomware Engin en Bitdefender engine) heb lopen. Is Windows Controled file Access dan overbodig? Zo nee, hoe kan ik dat dan alsnog inschakelen?
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 18 juni 2020 03:25 Pieter-
    @AlbertKnop Het zou inderdaad heel goed kunnen dat IObit Malware Fighter en/of Comodo het gebruik van Controlled Folder Access onmogelijk maken. Van IObit Malware Fighter PRO weet ik dat de anti-ransomeware engine een vergelijkbare functie heeft, dus lijkt me inderdaad niet meer nodig om Windows Controlled Folder Access in te schakelen. Groet!
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.