Eenvoudige beveiliging Windows

[caveman]

N.a.v een bericht van Elisa over mijn huidige handtekening is het zo dat veel problemen te voorkomen zijn en/of beter in de hand te houden zijn, als je in Windows NT4/2k/XP niet als administrator je pc gebruikt.

De administrator account is in principe alleen voor het systeembeheer en de installatie van hard- en software. De administrator heeft toegang tot alles en als je een virus hebt, heeft deze dat ook.

Een virus die actief wordt onder een (Power) User account kan minder schade aanrichten, omdat delen van het systeem niet toegankelijk zijn. Zo is het niet mogelijk het register of de c:\winnt of c:\windows map te wijzigen of om drivers te wijzigen.

Droevig feit is dat noch Windows, noch de software zich richt op het model dat iedere gebruiker niet als administrator werkt. Zo werkt Automatische Updates niet en werkt niet alle software direct onder een account met beperkte rechten.

Een middenweg is om als Power User te werken. Belangrijke delen van het syteem zijn beschermd en je kan software installeren. Je beschermt tevens het syteem tegen veranderingen in de systeemconfiguratie.

Een van de hoofdredenen dat Linux veiliger is, is omdat Linux het ontmoedigt om als admin op je systeem te werken. De eerste account die je krijgt na installatie is de normale gebruikersaccount en niet de administrator account die Windows geeft.

Nu hoeft niemand op Linux over te gaan Ik wil aangeven dat er een beveiligingsfilosofie achter een besturingssyteem zit, maar als deze niet gepromoot wordt, zijn het enkel de systeembeheerders die wel weten hoe je Windows proper beveiligt; net zoals Linux voornamelijk door 'weters' wordt gebruikt.

 

[nteusink]

Helemaal mee eens

En wil je toch nog een programma als administrator draaien zonder uit te loggen. Dan is er de RunAs service, dit microsoft artikel legt het uit (Engels):

http://support.microsoft.com/default.aspx?scid=kb;EN-US;225035

 

[Binary]

Mag ik toch even opmerken dat bovenstaande helemaal niet alleen voor het Administrator account geldt? In een zakelijke omgeving zal het anders zijn, maar voor de meeste mensen op HelpMij is het zo dat ook het account waarmee ze Windows XP opstarten een beheersaccount is, waarvoor de rechten in vrijwel niets verschillen met het Administrator account. Beiden zijn lid van de groep Administrators en hebben (vrijwel) alle rechten.
Daarbij komt dat Home Edition helemaal geen Power User kent. Je moet kiezen tussen beheersaccount en Gast. En daarmee valt eigenlijk niet normaal te werken. Daar moet je dus eigenlijk wel als lid van de Administrators inloggen.

 

[Elisa]

Leuk Caveman dat je hier op ingaat.
Ik werk inderdaad als beheerder en eigenlijk krijg ik zelden te horen dat de administrator ergens voor nodig is. Je hebt dus al behoorlijk veel rechten.
Bij beveiliging en rechten heb ik als Elisa net zoveel rechten als de admin. Ik heb em alleen maar ingesteld omdat het soms handig kan zijn.
Wat is de power-user bij jou? Een beheerder?

 

[caveman]

Vooropgesteld dat mijn kennis van beveiliging in NT geheel stoelt op NT 4 en Windows 2000 ben ik niet bekend met de beveiliging in Windows XP Home Ed. Die in XP Pro is practisch hetzelfde als in Windows 2000.

Een power user mag software instelleren en bepaalde systeeminstellingen wijzigen, maar niet alle. Zo kan je achtergrondservices stoppen, maar kan je niet de opstartstatus veranderen of services toevoegen. Ook is het besturingssyteem afgeschermt tegen wijzigingen.

Maak een nieuwe account aan in Computer Beheer en voeg de gebruiker toe aan de Power User groep. Wen er aan dat je een wachtwoord opgeeft iedere keer dat je inlogt en 'lock' je computer als je deze laat draaien en je er niet achter zit. Dit bemoeilijkt inbreken op de computer (ook van buitenaf).

Nog beter is het de standaard Admin account te hernoemen. Geef deze een andere naam en het is weer moeilijker in te breken en om admin rechten te verkrijgen. Met de standaardnaam is 50% van het probleem al opgelost. Wachtwoorden bestaan bij voorkeur uit 8 willekeurige letters en cijfers of meer.

Uitleg gebruikers groepen > http://www.wellesley.edu/Computing/Win2k/w2kgroups.html

Overzicht typen gebruikers > http://windows.stanford.edu/docs/defaultgroups.htm

'System hardening' > http://www.microsoft.com/technet/security/prodtech/win2000/win2khg/default.mspx

 

[Elisa]

Is de wijziging in computerbeheer van Administrator in iets anders voldoende? Het verbaasd me n.l. dat je niet hoeft te bevestigen of zo.
Er zijn twee typen. Gebruikers en Groepen w.o. hoofdgebruikers. Ik heb gezien dat ik een nieuwe groep kan maken.

 

[caveman]

De betere functies hebben ook geen wizards of pop up waarschuwingen

Maak een nieuwe gebruiker aan en maak deze power user. Die account kan je dan gebruiken om mee te internetten etc.

 

[Elisa]

Ja, dat lijkt me zeker een goed idee. Ik bleek ook bij de Administrators te zitten
Mijn admin heeft nu mijn honds naam
Trouwens Caveman wat is jabberen nou weer

 

[caveman]

Ik ben al jaren gewent aan beperkte rechten en moeilijk wachtwoorden, leuk dat je dit terrein ook betreedt . Zo is Helpmij weer meer dan alleen probleempjes oplossen.

[offtopic]Jabber is een xml gebaseerd chat protocol en met een jabber client kan je ook icq, msn en yahoo contacten gebruiken. Het is gewoon leuk, omdat xml zo 'hot' is[/offtopic]

 

[Elisa]

Nou, wat moeilijke wachtwoorden betreft loop ik al een aardig tijdje mee maar dit wat jij beschreef wilde ik uitzoeken. Ik ben nou eenmaal een veiligheidsfreak dus straks loop ik beperkt rond op mijn pc. Daar ook al