Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Anno 2011: hoe beveilig ik Windows optimaal?

None
22 antwoorden
  • [b:beb0611cea]
  • Heb je een speciale reden om windows 7 firewall control niet te noemen?
    http://www.sphinx-soft.com/Vista/order.html
  • Tot twee keer toe met telkens een nieuwe download rechtstreeks van Spinx Software is er door Eset in de setup van Win7 Firewall Control van Sphinx telkens een variant van Win32/InstallCore.C applicatie gevonden:

    Virus Profile: Generic.tfr!m!97F5360AA09A

    Risk Assessment: Home Low | Corporate Low
    Date Discovered: 5-9-2011
    Date Added: 5-9-2011
    Origin: Unknown
    Length: 482130
    Type: Trojan
    Subtype: -
    DAT Required: N/A

    info


    Het is niet de eerste keer en zal ook bij lange niet de laatste keer zijn, dat gratis software spyware bevat.

    En dat is dan ook de reden, dat ik Win7 Firewall Control van Sphinx niet opgenomen heb.
  • Mooi overzicht, Abraham.

    Dankjewel voor de aandacht voor SEHOP - Structured Exception Handling Overwrite Protection, ik kende dat nog niet.
    Ik heb het gelijk ingeschakeld.

    EMET - Enhanced Mitigation Experience Toolkit, die kende ik al wel, maar had ik nog nooit geïnstalleerd en toegepast, wegens onvoldoende inzicht in de toepassing.
    Ik heb 'm nu geïnstalleerd, en zie dat netjes wordt weergegeven wat ik eerder reeds had ingesteld voor DEP - op alles toepassen, met één kleinigheidje ervan uitgesloten, EMET geeft daardoor voor DEP aan "Application Opt Out".
    En voor SEHOP, wat ik net heb ingeschakeld, wordt dan onder Vista aangegeven "Always On".

    Wat EMET standaard doet met [u:afd014d2ef]ASLR[/u:afd014d2ef], met de instelling "[u:afd014d2ef]Application Opt In[/u:afd014d2ef]", dat blijft echter onduidelijk voor me. Dat is ook de reden dat ik EMET niet eerder heb toegepast.
    Ik heb niet de kennis om via Application Configuration in te stellen voor welke applicaties ASLR ingeschakeld mag worden en voor welke niet.
    Het is me onduidelijk of EMET ook zonder een dergelijke configuratie, met alleen de standaard "Application Opt In", een toegevoegde waarde heeft betreffende ASLR, of dat het daartoe nodig is via Application Configuration specifieke instellingen te maken.
    Mogelijk is het antwoord op die vraag wel ergens te vinden, maar ik heb het nog niet kunnen vinden.

    Kun jij over het bovenstaande misschien duidelijkheid geven, Abraham?
    Of iemand anders, eventueel, wanneer iemand anders thuis is in EMET, en EMET configuratie.

    Alvast heel hartelijk bedankt.
  • @Abraham54 Deze gezien? http://tweakers.net/nieuws/76693/nieuwe-malware-poogt-bios-te-besmetten.html?nb=2011-09-11&u=2100
  • Hoi Tim, ja die melding had ik gisteren laat ook ontdekt.

    Volgens Symantic hoeven Windows 7 gebruikers zich geen zorgen te maken.

    Wat ikzelf vreemd vindt aan het hele gegeven, is het feit dat de rootkit eerst het Award-bios moet flashen, voordat vervolgens de MBR van de Harddisk gemodificeerd wordt.
    Rootkits als die uit de TDL-reeks en ook Mebroot/Sinowal hoeven het bios niet te flashen en zijn geschikt voor alle Windows-versies!

    @ Stupendous Man: ASLR is een techniek om bestanden in het werkgeheugen continu een ander adres te geven, zodat een eventuele hacker die bestanden niet kan bewerken!

    Heel nuttig dus.
  • [quote:e2e13a384b="Abraham54"]ASLR is een techniek om bestanden in het werkgeheugen continu een ander adres te geven, zodat een eventuele hacker die bestanden niet kan bewerken

    [/quote:e2e13a384b]Dank je, Abraham.
    Windows Vista en 7 passen ASLR zelf standaard toe.
    Maar voor niet elke applicatie wordt ASLR standaard toegepast.
    Met EMET heb je de optie om voor applicaties waarvoor ASLR niet standaard wordt toegepast ASLR geforceerd toe te passen.
    Tot zover ben ik er mee bekend.

    Wat me echter nog niet duidelijk is, en dat probeerde ik in mijn vorige reactie aan te geven, dat is de vraag of EMET zelfs met de standaardinstelling voor ASLR, "[u:e2e13a384b]Application Opt In[/u:e2e13a384b]", misschien al een extra beveiliging toevoegt voor applicaties waarvoor ASLR niet standaard wordt toegepast, of dat het daartoe werkelijk nodig is gebruik te maken van de mogelijkheid om per applicatie waarvoor ASLR niet standaard wordt toegepast ASLR geforceerd toe te passen via een instelling per applicatie in "Application Configuration".

    Uit de publicaties die ik ken over EMET en ASLR begrijp ik steeds dat dat laatste geldt, dat de toegevoegde waarde van EMET is dat het je de [u:e2e13a384b]mogelijkheid[/u:e2e13a384b] geeft om [u:e2e13a384b]voor applicaties waarvoor ASLR niet standaard wordt toegepast[/u:e2e13a384b] indien gewenst [u:e2e13a384b][b:e2e13a384b][i:e2e13a384b]per applicatie[/i:e2e13a384b][/b:e2e13a384b] ASLR geforceerd toe te passen[/u:e2e13a384b] via een instelling per applicatie in "Application Configuration".
    Dat is wat de aanduiding "[u:e2e13a384b]Opt In[/u:e2e13a384b]" mijns inziens ook zegt: [u:e2e13a384b]per applicatie[/u:e2e13a384b] waarvoor ASLR niet standaard wordt toegepast geeft EMET je de mogelijkheid ASLR geforceerd toe te passen.
    Echter, zonder de specialistische kennis over de vraag voor welke applicaties ASLR geforceerd ingeschakeld kan worden via EMET (N.B. zonder dat dat tot complicaties leidt), is die optie in EMET dan niet praktisch bruikbaar.

    Maar nogmaals, dat is zoals ik het begrijp.
    Ik sluit niet uit dat ook de EMET standaardinstelling voor ASLR, "Application Opt In" misschien al een extra beveiliging toevoegt, maar ik zie daar vooralsnog geen aanwijzing voor.
  • Een aanvulling op wat ik eerder vandaag hierboven al neerzette:

    Ik had al veel over EMET gelezen, maar gek genoeg nog niet de [b:327eb8260d]Microsoft Support pagina voor EMET[/b:327eb8260d].
    Die pagina zegt:
    http://support.microsoft.com/kb/2458544/en
    " [b:327eb8260d]How do I use EMET to protect my software?[/b:327eb8260d]
    After you install EMET, you must configure EMET to provide protection for a piece of software. This requires you to provide the name and location of the executable file that you want to protect. To do this, use one of the following methods:
    - Work with the Configure apps feature of the graphical application
    - Use the command prompt utility "
    http://support.microsoft.com/kb/2458544/nl
    " [b:327eb8260d]Hoe gebruik ik EMET om mijn software te beschermen?[/b:327eb8260d]
    Nadat u EMET hebt geïnstalleerd, moet u EMET configureren als u een bepaalde softwarecomponent wilt beveiligen. Hiervoor moet u de naam en locatie opgeven van het uitvoerbare bestand dat u wilt beveiligen. U kunt hiertoe gebruikmaken van een van de volgende methoden:
    - Gebruik de functie Configure apps van de grafische toepassing
    - Gebruik het opdrachtregelprogramma "

    Dat zegt mijns inziens hetzelfde als wat ik in mijn vorige berichten al aangaf.
    Heb je zelf DEP al ingeschakeld voor alle programma's en services,
    en heb je zelf SEHOP al ingeschakeld,
    dan lijkt EMET [u:327eb8260d]alleen[/u:327eb8260d] een toegevoegde waarde te hebben voor die gebruikers met een dusdanig niveau van deskundigheid dat ze in staat zijn te bepalen welke applicaties toegevoegd kunnen worden via "Configure Apps"/ "Application Configuration" en welke van de opties voor die applicaties kunnen/ moeten/ mogen worden ingeschakeld (DEP, SEHOP, NullPage, HeapSpray, EAF, MandatoryASLR, BottomUpRand).

    Heeft iemand anders een ander inzicht, dan verneem ik dat heel graag.

    En N.B.
    Het gaat door mijn bijdragen nu wel erg veel over EMET. Mocht Abraham dat ongewenst vinden in deze thread, die immers over véél meer dan EMET gaat, dan is het starten van een specifieke EMET-thread uiteraard een optie.
  • Je vergeet een aantal belangrijke dingen.

    DEP is standaard geaktiveerd voor een deel van de Windows bestanden niet voor alle bestanden!
    Sehop is aanwezig in Vista en Windows 7, maar aktiveer je met de fix.
    ASLR is standaard aanwezig in Windows Vista en Windows 7, maar hier geldt hetzelfde als voor DEP.

    Met Sysinternals ProcessExplorer kan je dit overigens allemaal navorsen!
  • [quote:1a80dde1ce="Abraham54"]DEP is standaard geaktiveerd voor een deel van de Windows bestanden niet voor alle bestanden!

    [/quote:1a80dde1ce]Dat klopt, daarom schreef ik in mijn vorige reactie, "Heb je zelf DEP al ingeschakeld voor alle programma's en services […]".
    Want die optie is uiteraard aanwezig in Windows.
    Heb je zelf DEP al ingeschakeld voor alle programma's en services, dan heb je daar EMET niet voor nodig.

    [quote:1a80dde1ce="Abraham54"]Sehop is aanwezig in Vista en Windows 7, maar aktiveer je met de fix.

    [/quote:1a80dde1ce]Daarbij is van toepassing wat ik in mijn vorige bericht schreef: "heb je zelf SEHOP al ingeschakeld […]".
    Niet zoals DEP via een standaard Windows-optie, maar in te schakelen via Microsoft Fix it 50096 waarnaar je verwees, of via een kleine handmatige register-aanpassing.
    Heb je dat uitgevoerd, dan heb je ook daarvoor EMET niet nodig.

    [quote:1a80dde1ce="Abraham54"]ASLR is standaard aanwezig in Windows Vista en Windows 7, maar hier geldt hetzelfde als voor DEP.

    [/quote:1a80dde1ce]Als je daarmee bedoelt dat ASLR standaard niet voor elke applicatie wordt toegepast, dat klopt, dat schreef ik in mijn voor-vorige bericht.
    Een verschil met DEP is dat er bij mijn weten geen gangbare optie in Windows aanwezig is om ASLR in te stellen voor alle applicaties.
    En dat ASLR niet voor elke applicatie wordt toegepast, dat heeft als reden dat dat serieuze problemen kan opleveren. Dit wordt ook aangegeven in de EMET documentatie.

    EMET Users Guide, p.19, onder "Advanced options":
    " With EMET 2.1, there is currently one unsafe option: the "Always On" setting for the system ASLR setting. Depending on your operating system configuration, setting the system ASLR setting to "Always On" could make your operation system blue screen during boot. Recovering from this will require booting the system in safe mode and setting the system ASLR setting to either "Opt In" (recommended) or "Disabled".

    Die setting "Always On" voor ASLR is daarom veiligheidshalve standaard niet aanwezig in EMET, maar moet met behulp van een register-aanpassing worden vrijgegeven (zoals eveneens beschreven wordt onder Advanced options in de Users Guide).

    Via de instelling onder "Configure System"/ "System Configuration" bestaat dus standaard geen mogelijkheid om te kiezen voor "Always On" voor ASLR.
    Daardoor is standaard via EMET dus alleen "Opt In" in te stellen voor ASLR, waarbij, als ik me niet vergis, geldt wat ik in mijn vorige bijdrage schreef:
    EMET geeft je de mogelijkheid om voor applicaties waarvoor ASLR niet standaard wordt toegepast indien gewenst per applicatie ASLR geforceerd toe te passen via een instelling per applicatie in "Application Configuration".
    Maar dat lijkt alleen een toegevoegde waarde te hebben voor die gebruikers met een dusdanig niveau van deskundigheid dat ze in staat zijn te bepalen welke applicaties toegevoegd kunnen worden via "Configure Apps"/ "Application Configuration" en welke van de opties voor die applicaties kunnen/ moeten/ mogen worden ingeschakeld (DEP, SEHOP, NullPage, HeapSpray, EAF, MandatoryASLR, BottomUpRand).


    Ik denk dus niet dat ik wat vergeten was. :wink:
    Ik schrijf alleen nogal eens bijzonder uitgebreid, dus het kan voorkomen dat daardoor per ongeluk ergens overheen gelezen wordt, wanneer iemand het druk heeft, bijvoorbeeld. Óf we begrijpen elkaar mogelijk af en toe niet helemaal goed door onze verschillen in schrijfstijl. Ook al doen we nog zo ons best, het kan altijd eens voorkomen dat we langs elkaar heen praten.

    En P.S.
    De komende dagen heb ik het te druk om hier verder aan toe te komen, maar loopt de discussie verder dan zal ik eind van de week nog reageren.
  • EMET wordt nu eenmaal door experts gezien als het tool om het malware moeilijker te maken in Microsoft.

    En heb jij een ander oordeel daarover, prima, maar ik ga hier verder geen woorden meer aan vuil maken!
  • [quote:d8df91a9c1="Abraham54"]EMET wordt nu eenmaal door experts gezien als het tool om het malware moeilijker te maken in Microsoft.

    En heb jij een ander oordeel daarover, prima, maar ik ga hier verder geen woorden meer aan vuil maken!

    [/quote:d8df91a9c1]Ik had niet het idee dat we woorden aan het vuil maken waren?
    Ik had het idee dat we het hadden over wat je in essentie wel en niet met EMET kunt doen.

    EMET is een interessante tool om het malware moeilijker te maken, daar ben ik het helemaal mee eens, ik heb daar beslist geen afwijkend oordeel over.
    Het enige dat ik in mijn uitgebreide posts hierboven aangaf, dat was dat de opties in EMET om ASLR voor meer applicaties in te schakelen mijns inziens alleen een toegevoegde waarde hebben voor die gebruikers met een dusdanig niveau van deskundigheid dat ze in staat zijn te bepalen welke applicaties toegevoegd kunnen worden via "Configure Apps"/ "Application Configuration".
    That's all.

    Maar goed, ik vind het prima om de uitwisseling van gedachten over EMET te beëindigen, als je dat verkiest, Abraham.

    En nogmaals bedankt voor je mooie overzicht.
  • Ik wil ook geen ruzie met jou hoor.

    Wat jij doet is vanuit jouw eigen Windows ervaring praten.
    Vergeet niet dat heel veel Windows gebruikers niet die instellingen doen in hun Windows die jij wel gedaan hebt.

    Daarom is EMET zo'n prachtige aanvulling voor hun om Windows echt veiliger te maken en daar gaat het ten slotte om.
  • Hoi Abraham54,

    een geweldig overzicht, met een aantal voor mij nieuwe tools. Dank daarvoor!

    Ik heb een vraag: zou het niet een idee zijn om ook de anti-malware pakketten toe te voegen? Zelf gebruik ik Malwarebytes Anti-Malware en die plukt soms zaken eruit die Norton laat liggen.

    Ik zal zelf even een post maken met issues voor Firefox.

    En nog een vraag. Uit de baseline analyzer kwam dat er bij mij enkele shares open staan. Ze staan op Extern beheer, Standaardshare en Externe IPC. Nu zit ik achter een firewall, maar toch. Hoe sluit ik die shares? Moet ik ze sluiten?

    Groet, Wilhelm
  • Hoi Wilhelm, natuurlijk is dat een optie.

    Ben ik nog mee bezig, omdat het bedoeld wordt als toevoeging.

    En dat MBAM dingen vindt, die Norton niet vindt, ligt in het scanproces van MBAM opgesloten, namelijk te zoeken daar waar antivirussoftware niet kijkt!

    En ook de Microsoft Safety Scanner is een interessante aanvulling.
  • hi Abraham54,

    kzie ernaar uit 8)


    Zou je misschien nog even kunnen kijken naar mijn vraag over die shares?

    groet! wilhelm
  • Abraham54 schreef: "Op twee: [b:985b418da3]Panda Cloud Antivirus[/b:985b418da3]"

    Bedankt voor je uitgebreide overzicht. Ik weet niet hoe de service van Panda nu is, maar in 2007 had ik erg slechte ervaringen met een betaald abonnement op Panda. Panda was toen vaak erg verwarrend. En ik las dat toen ook op andere forums.

    Hun helpdesk via email werkte heel traag en de adviezen per email klopten meestal niet, waren vaak volstrekt onbegrijpelijk of verwezen naar lange irrelevante Engelse tekten. Je kon Panda toen het beste bellen voor advies. Maar dat was wel duur en ze waren niet altijd telefonisch bereikbaar. Ook was hun telefoonnummer voor service bijna niet te vinden op hun website.
  • Je kan natuurlijk oude koeien uit de sloot halen, dat gebeurt door weer anderen ook als je het hebt over Norton.
    Want nog steeds denken velen dat Norton Windows vertraagt.
    Maar dat is al sinds 2008 niet meer het geval.
  • [quote:819740331d="Abraham54"]Je kan natuurlijk oude koeien uit de sloot halen, dat gebeurt door weer anderen ook als je het hebt over Norton.
    Want nog steeds denken velen dat Norton Windows vertraagt.
    Maar dat is al sinds 2008 niet meer het geval.[/quote:819740331d]Zijn er recente tests of reviews over de service van Panda?
  • Panda Internet Security behoort nu tot de besten!

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.