Zo maak je Windows extra veilig

Door: Toon van Daele | 28 december 2018 18:09

How To

Zodra je online bent, vormt je systeem een potentiële prooi voor virussen, hackers, ransomware en ander onheil. Een up-to-date antimalwaretool is uiteraard een vereiste, maar met de juiste instellingen en bijkomende tools maak je Windows extra veilig.

Tip 01: Gelaagde beveiliging (1)

Veel gebruikers denken dat hun systeem voldoende is afgeschermd als er een antivirustool op de achtergrond actief is. De praktijk wijst helaas vaak anders uit. Om je systeem echt veilig(er) te maken, moet je de beveiliging op verschillende fronten aanpakken. Naast een goed geconfigureerde antivirustool (zie ook tip 03) is het belangrijk dat je alle software goed up-to-date houdt om het risico op exploits te beperken. Windows 10 houdt zichzelf gelukkig prima up-to-date en wat applicaties betreft kun je de gratis portable tool Patch My PC Updater overwegen. Die kun je op gezette tijden op potentiële updates laten controleren, waarna je die in één keer kunt laten installeren.

Verder doe je er goed aan de phishing-protectie van je browser(s) te activeren. In Chrome doe je dat via Instellingen / Geavanceerd, waarna je bij Privacy en beveiliging de optie Jou en je apparaat beschermen tegen gevaar inschakelt. In Edge doe je dat via Instellingen / Geavanceerde instellingen weergeven, waar je de schuifknop bij Windows Defender SmartScreen op Aan zet. Overigens kun je deze laatste – en betere – optie sinds enkele maanden ook activeren in Chrome via de extensie Windows Defender Browser Protection.

Een ‘dubbele’ phishing-protectie in Chrome – met de groeten van Microsoft.

Tip 02: Gelaagde beveiliging (2)

Minstens even belangrijk is dat de Windows Firewall – of eventueel een andere firewall – actief is. Dat check je als volgt: druk op de Windows-toets, tik firewall in en klik op Status van firewall controleren. Desgewenst selecteer je hier Windows Defender Firewall in- of uitschakelen en stip je bij alle netwerkprofielen de optie Windows Defender Firewall inschakelen aan. Houd er wel rekening mee dat op je pc slechts één firewall tegelijk actief mag zijn.

Veel gebruikers zien bovendien over het hoofd dat malware die het systeem weet binnen te dringen zich dezelfde machtigingen toe-eigent als het Windows-account waarmee ze op dat moment zijn aangemeld. De moraal van het verhaal: meld je voor dagelijks gebruik aan met een standaardaccount, en niet met een administratoraccount. Een account creëren of het type wijzigen doe je via Windows Instellingen / Accounts. Er zijn studies die aangeven dat je hiermee tot 90 procent van de (kwalijke gevolgen van) bedreigingen afweert. Meer feedback vind je hier.

Een firewall is net zo goed een onmisbare schakel in je beveiliging.
Een solide beveiliging is veel meer dan alleen een antivirustool

Tip 03: Windows Defender

Windows Defender mag dan niet het krachtigste antivirus- en antimalware-product op de markt zijn, het is wel gratis bij Windows inbegrepen. Het is echter wel aan te raden de instellingen even te controleren. Open het Windows Defender-beveiligingscentrum, ga naar de rubriek Virus- en bedreigingsbeveiliging en klik op Instellingen voor virus- en bedreigingsbeveiliging. Realtime-beveiliging moet in elk geval op Aan staan – tenzij een ander antiviruspakket op de achtergrond actief is – en je doet er goed aan ook Cloudbeveiliging in te schakelen. Via deze functie kan er informatie worden doorgestuurd naar de servers van Microsoft zodra er verdachte systeemactiviteit wordt vastgesteld. Oordelen de servers dat er wellicht iets aan de hand is en heb je tevens Automatisch sample indienen ingeschakeld, dan wordt het bijbehorende programmabestand naar Microsoft geüpload om het daar extra grondig op potentiële malware te controleren. Vermoedt men inderdaad een malafide bestand, dan seinen de servers van Microsoft dat door aan Defender, die de boosdoener meteen blokkeert.

Werk je met Defender, dan schakel je het best ook de extra cloudbeveiliging in.

Tip 04: Bootscan

Het valt nooit uit te sluiten dat er toch een of ander virus of malware door de mazen van het net glipt. Je kunt er dan uiteraard wel een tweede opinie bij halen (zie ook tip 06), maar heeft er zich inderdaad malware in het geheugen weten te nestelen, dan heb je geen enkele garantie meer dat je antivirustool nog betrouwbaar werkt. In dat geval kun je beter een virusscan uitvoeren zonder dat je – geïnfecteerde – Windows wordt opgestart. Ook daar kan Windows Defender voor zorgen. Open opnieuw de rubriek Virus- en bedreigingsbeveiliging in het Windows Defender-beveiligingscentrum en klik op Een nieuwe geavanceerde scan uitvoeren. Stip Windows Defender Offline-scan aan en klik op Nu scannen. De pc wordt in een speciale omgeving opgestart waarin Windows Defender automatisch een grondige scan uitvoert.

Er zijn echter nog andere oplossingen en we raden je aan daarvan gebruik te maken als ook de offline-variant van Windows Defender geen uitsluitsel brengt. Degelijke tools zijn in elk geval Norton Bootable Recovery Tool en Kaspersky Rescue Disk 2018, beide te downloaden als iso-bestand dat je vervolgens op een bootable usb-stick plaatst. De nodige instructies vind je hier; de werkwijze voor Norton en ook andere oplossingen is vergelijkbaar. Je hebt er wel ook de gratis (portable) tool Rufus voor nodig. Vervolgens start je je systeem met deze stick op en laat je het antivirusprogramma zijn werk doen.

Het bootmedium met Kaspersky Rescue Disk aanmaken (links) en gebruiken (rechts).
Hardnekkige malware ontmasker je vaak alleen via een live bootscan

Tip 05: Online viruscheck

Ook al heb je een up-to-date antivirustool draaien, wanneer je zelf een of ander programma van het internet downloadt, is het absoluut aan te raden dat je het gedownloade bestand doorstuurt naar een online virusscanner als VirusTotal voordat je het programma opstart of installeert. Surf naar www.virustotal.com, druk op de knop Choose file en verwijs naar het bestand. VirusTotal stuurt het meteen door naar circa 60 verschillende online virusscanners en geeft je nagenoeg meteen het resultaat te zien. Het gebeurt wel vaker dat een paar virusscanners een ‘vals positief’ laten zien, maar als er meer dan pakweg vier virusscanners aan de alarmbel trekken, is het risico op malware toch wel reëel. Je verwijdert het bestand dan liefst meteen of je gaat eerst op verder onderzoek uit.

Je kunt het eventueel ook via Windows naar de servers van Microsoft uploaden voor verdere analyse. Open het Windows Defender-beveiligingscentrum, ga naar de Instellingen voor virus- en bedreigingsbeveiliging, klik op Een sample handmatig verzenden en op Home customer en volg de verdere instructies.

Overigens kun je VirusTotal ook inzetten als bijkomende phishing-protectie. Er bestaan namelijk diverse browserextensies die precies dat doen (je vindt ze hier). Voordat je dan een link aanklikt in je browser, klik je die met de rechtermuisknop aan en kies je Check with VirusTotal. Pas als alles veilig blijkt, open je de link.

Bij elke download haal je eerst even VirusTotal erbij – extra veilig!

Tip 06: Extra viruscheck

Net als bij firewalls is het geen goed idee om twee virusscanners tegelijk op de achtergrond (‘on access’) draaiend te hebben. Je mag gerust een ander viruspakket installeren, zoals Bitdefender Antivirus Free Edition of Avira, maar dan dient de realtime-beveiliging van Windows Defender wel te worden uitgeschakeld – iets wat normaliter automatisch gebeurt tijdens de installatie van je externe antivirusprogramma.

Er zijn echter antimalwaretools die alleen maar scannen op het moment dat je dat zelf wilt (‘on demand’), en die kun je gerust inzetten als tweede opinie, naast je reeds actieve antiviruspakket. Een van de betere is (de gratis versie van) Malwarebytes Antimalware. Je hoeft eigenlijk alleen maar de knop Scan nu in te drukken op je dashboard en het resultaat af te wachten. Eventuele bedreigingen kun je dan in quarantaine laten plaatsen.

De gratis versie van Malwarebytes kun je op elk moment een malwarescan laten uitvoeren.

Tip 07: Antiransomware (Windows)

Een van de meest verraderlijke vormen van malware is ransomware: malware die je gegevens versleutelt en je belooft die na betaling (in bitcoins) de sleutel toe te sturen – dat laatste gebeurt trouwens zelden. Het komt er eigenlijk op neer dat alle data (die zonder bijkomend wachtwoord of token vanuit je Windows-account bereikbaar zijn) onleesbaar worden gemaakt. Dat geldt dus net zo goed ook voor gegevensbestanden op netwerkshares, op je nas en in de lokale synchronisatiemap van een cloudopslagservice als Google Drive of OneDrive.

Slimme back-ups maken is (ook) hier de beste verdediging: back-ups dus die ná het back-uppen niet zonder meer te benaderen zijn. In de meeste gevallen komt dat neer op een offline back-up, zoals een usb-schijf die niet langer met de pc verbonden is. Je zorgt tevens voor meerdere back-ups, bijvoorbeeld ook eentje op je nas, in een map die alleen via een afzonderlijk account bereikbaar is.

Dat neemt niet weg dat je ook preventieve maatregelen kunt nemen. Er zit er zelfs eentje in Windows 10 ingebouwd: open opnieuw de Virus- en bedreigingsbeveiliging van je Windows Defender-beveiligingscentrum en klik op Bescherming tegen ransomware. Zet de schakelaar (bij Controlled folder access) op Aan. Bevestig je keuze en klik vervolgens op Beschermde mappen. Je verneemt hier welke mappen standaard beveiligd zijn tegen ransomware, maar via Een beveiligde map toevoegen kun je nog andere locaties afschermen. Het kan nu echter gebeuren dat ook legitieme apps de toegang tot die beschermde mappen wordt ontzegd. Via de optie Een app toestaan via Controlled Folder Access / Een toegestane app toevoegen kun je die app alsnog je fiat geven.

Windows bevat een ingebouwde ransomwareprotectie, maar die is niet bepaald ‘set-and-forget’.
Ransomware is een van de meest destructieve vormen van malware

Tip 08: Antiransomware (extern)

Bots je met Controlled Folder Access al te veel tegen vervelende blokkades op, dan kun je een externe anti-ransomwaretool overwegen. Er zijn er verschillende, waaronder Bitdefender Anti-Ransomware Tool en Cybereason RansomFree. Wijzelf hebben in elk geval goede ervaringen met die laatste.

Na een eenvoudige installatie nestelt de tool zich op de achtergrond. Via een icoontje in het Windows-systeemvak maak je het programmavenster zichtbaar, maar er is verder niets in te stellen. De tool plaatst geheel zelfstandig een aantal mappen op schijflocaties die snel in het vizier komen van ransomware, zoals C:\Users en C:\Users\<je_windowsaccount>\Documents. De namen van deze mappen bestaan telkens uit een reeks letters en cijfers en bevatten een aantal dummybestanden (zoals docx, jpg en txt). Wanneer ransomware deze bestanden begint te versleutelen, merkt RansomFree dat meteen op en geeft het je de kans het achterliggende proces stop te zetten, waarna je aan de slag kunt met antimalwaretools. Even uitproberen of het werkt? Selecteer dan een aantal van die dummybestanden in de Verkenner en tracht die te herbenoemen: RansomFree schiet meteen te hulp!

Cybereason RansomFree zet op slimme wijze ‘lokaas’ uit.

Tip 09: Poortscan

In tip 02 schreven we al dat een firewall een belangrijk onderdeel van je beveiligingsstrategie hoort te zijn, en de ingebouwde firewall van Windows voldoet prima. Om uit te testen of je firewall naar behoren werkt, kun je daar een externe poortscan op loslaten. Surf hiernaartoe en klik achtereenvolgens op Proceed en op All Service Ports. Je netwerk wordt nu gecontroleerd op mogelijke open poorten. Zo’n poort kun je zien als een kanaal waarlangs data tussen twee systemen kunnen worden uitgewisseld, zoals je eigen netwerk en een server op het internet. Idealiter kleurt geen enkele van de (1056) gecontroleerde poorten rood, want dat zou betekenen dat langs die poort data kunnen passeren, zoals van of naar een hacker. Eventueel voer je deze test twee keer na elkaar uit: één keer zonder en één keer met actieve firewall.

Blijven er ook met actieve firewall poorten openstaan, dan betekent dit dat er bepaalde diensten actief zijn op je eigen pc of via (een functie als port forwarding op) je router. Heb je weet van dergelijke diensten en zijn die bonafide en up-to-date, dan hoef je je normaliter weinig zorgen te maken. In het andere geval doe je er goed aan uit te vissen welke applicaties voor die open poorten verantwoordelijk zijn. Dat kan bijvoorbeeld als volgt: druk op Windows-toets+R en voer perfmon /res uit, open het tabblad Netwerk en check de poortnummers en de bijhorende toepassingen in de rubriek Listener-poorten.

Ga bij elk open (roodgekleurde) poortnummer na welke toepassing daarvoor verantwoordelijk is – vergeet je router niet!

2 Reactie(s) op: Zo maak je Windows extra veilig

  • Om te reageren moet je ingelogd zijn. Nog geen account? Registreer je dan en praat mee!
  • 30 december 2018 16:10 Kasander1
    De veiligste manier is Windows als tweede opstart gebruiken. Als eerste maak je gebruik van Linux en als het echt niet anders kan (Zeldzaam) start je Windows even op.
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.
  • 2 januari 2019 17:18 henkvink1954
    Cybereason RansomFree bestaat niet meer ! Ze zijn ermee gestopt (free)
    Wanneer je een reactie plaatst ga je akoord
    met onze voorwaarden voor reacties.

Wanneer je een reactie plaatst ga je akoord
met onze voorwaarden voor reacties.