Computerbeveiliging - Hoe je bad guys buiten de deur houdt

[Verwijderd]

26-10-2012, 11:26 door [Account Verwijderd], 17 reacties
[Verwijderd]
Reacties (17)
26-10-2012, 11:30 door SirDice
Dat zijn geen accounts.

De "all users" directory is iets wat gedeeld wordt met alle gebruikers van het systeem. Je kunt daar bijvoorbeeld een snelkoppeling in Desktop plaatsen die dan vervolgens bij alle gebruikers op de desktop verschijnt.

Default is het profiel wat gekopieerd wordt als er een nieuwe gebruiker wordt aangemaakt, je zou hier bijvoorbeeld bepaalde instellingen standaard in kunnen stellen zodat elke nieuwe gebruiker ze automatisch krijgt.

Openbaar is een directory die gebruikt wordt bij bestandsdeling, deze directory is voor iedereen beschikbaar.
26-10-2012, 11:43 door [Account Verwijderd]
[Verwijderd]
26-10-2012, 11:59 door SirDice
Zo sterk mogelijk maken maar dat lijkt me duidelijk.
26-10-2012, 12:00 door Erik van Straten
Wat SirDice schrijft klopt.

Naast de user profile mappen die je noemt zijn (in elk geval onder XP, ik vermoed ook op latere Windows versies) de volgende hidden (standaard onzichtbare) user profile mappen aanwezig:

LocalService
NetworkService


Deze zijn (in tegenstelling tot de mappen die je noemt) wel degelijk gekoppeld aan accounts. Het doel van deze accounts is dat services niet meer met SYSTEM of Admin rechten hoeven te draaien. Zie http://msdn.microsoft.com/en-us/library/windows/desktop/ms686005(v=vs.85).aspx.

Het account "SYSTEM" heeft (om historische redenen) geen user profile map. Bijv. de bestanden waaruit het systeemdeel van het register bestaat, vind je (onder XP) in C:\Windows\System32\Config\ (voor alle andere gebruikeraccounts wordt het gebruikersdeel van het register ingelezen vanuit ntuser.dat in de root van de profielmap, direct nadat de gebruiker inlogt).

Aanvullende accounts met bijbehorende profielmappen kunnen worden aangemaakt door allerlei software. Bijv. IIS (Internet Information Service, de Microsoft webserver software) maakt tijdens installatie accounts met de volgende vage namen aan (of dit in de laatste IIS versies nog zo is, weet ik niet zeker):

IWAM_<computername>
IUSR_<computername>


(zie http://technet.microsoft.com/en-us/library/cc179801.aspx).

Door astip: Duidelijke uitleg; bedankt! Hoe zit het met het wachtwoord in het admin account? Enig advies?
Advies voor thuisgebruikers: genereer een lang (minstens 12 karakters, bij voorkeur 20 of zo) random wachtwoord (bijv. met KeePass). Schrijf dat op een papiertje dat je in een kluis legt (in elk geval niet bij de computer bewaart; alleen als niemand anders fysieke toegang tot die computer heeft kun je zo'n papiertje ook in de systeemkast van de PC leggen). Eventueel sla je het (ook) op in KeePass.
26-10-2012, 14:18 door yobi
Het moet natuurlijk wel werkbaar blijven. Iedere keer een wachtwoord van 20 karakters invullen is een goede beveiliging en mensen, die echt wat te verbergen hebben zullen dat doen. Voor de meeste mensen geldt een wachtwoord van minimaal 10 karakters als voldoende.
26-10-2012, 14:58 door Erik van Straten
Door yobi: Iedere keer een wachtwoord van 20 karakters
Indien mogelijk vermijd ik het inloggen als Administrator geheel. Op alle systemen waarop ik beheerwerkzaamheden moet uitvoeren maak ik, als dat mogelijk is, een "personalised" account aan dat lid is van de groep Administrators (o.a. omdat dan via (audit) logging te traceren valt wanneer ik wat gedaan heb). Dat account gebruik ik alleen als dat strikt noodzakelijk is. Zelden dus.

Nb. ik ben geen gamer, misschien dat je daar vaak adminrechten voor nodig hebt.Ik raad af zo'n PC te gebruiken voor internetbankieren of andere vertrouwelijke zaken.

Het huidige Truecrypt password op mijn notebook is overigens 20 karakters lang (cadeautje voor wie mijn notebook jat of vindt). Dat typ ik elke dag minstens 1x in (vandaag al 2x omdat ik tussendoor van A naar B gereden ben). Vind ik geen enkel probleem, als je dat vaak genoeg doet (en een beetje kunt tikken) gaat dat snel zat.

Mijn bron voor minimaal 12 karakters is overigens http://www.gtri.gatech.edu/casestudy/Teraflop-Troubles-Power-Graphics-Processing-Units-GPUs-Password-Security-System. Waarop baseer jij dat 10 karakters voldoende is?
26-10-2012, 15:36 door [Account Verwijderd]
[Verwijderd]
26-10-2012, 15:47 door SirDice
Door Miriam4711: Is het nu nog veiliger om een extra account aan te maken als standaard gebruiker.
Alleen een ja of een nee is voor mij voldoende lol.?
Ja.
26-10-2012, 15:52 door [Account Verwijderd]
[Verwijderd]
26-10-2012, 19:36 door Anoniem
Alwaarom is het een ja? Met UAC ingeschakeld is de administrator account toch voldoende beveiligd?
26-10-2012, 19:41 door Spiff has left the building
Door Miriam4711, 15:52 uur: [...]
gebruik altijd speedfan als voorbeeld
Klopt. Voor SpeedFan geldt dat voor een deel van de functies administrator-rechten nodig zijn en SpeedFan daardoor niet zomaar automatisch gestart kan worden in een standaardgebruikersaccount. Zonder het starten met administrator-rechten worden de HDD's niet gedetecteerd door Speedfan en daarmee ook niet de weergave van de HDD-temperaturen, en bestaat dus niet de mogelijkheid om op basis daarvan de systeem-fans aan te sturen.
Via Taakplanner is het wel mogelijk SpeedFan automatisch te laten opstarten met administrator-rechten, maar daarbij geldt dan heel hoogstwaarschijnlijk dat het niet mogelijk is automatisch te starten met verhoogde rechten onder een standaardgebruikersaccount. Ik zou in ieder geval niet weten hoe.
Ikzelf heb SpeedFan eerder wel eens gedeeltelijk uitgeprobeerd, toen ik nog overwoog het mijn systeem-fans te laten aansturen, maar om de bovengenoemde redenen en omdat ik standaard inlog in een standaardgebruikersaccount heb ik afgezien van verder gebruik van SpeedFan.

Ook voor andere programma's die voor een essentieel deel van de functies administrator-rechten nodig hebben zal wellicht gelden dat die niet automatisch gestart kunnen worden in een standaardgebruikersaccount. Voor onder meer veel programma's voor schijf-monitoring geldt dat. (Zie eventueel mijn eerdere ervaringen met het testen daarvan, hier: http://forum.computertotaal.nl/phpBB2/viewtopic.php?t=216856)
26-10-2012, 19:50 door [Account Verwijderd]
[Verwijderd]
26-10-2012, 20:07 door Anoniem
waarom is een admin met UAC ingeschakeld niet veilig dan? en hoe kun je dan bijvoorbeeld bij een client pc, die ingelogd is in een domein updates installeren van adobe of andere pakketten?
26-10-2012, 23:33 door Anoniem
Bij aanmelden/inloggen op de pc wil ik i.v.m. de zgn.keyloggers gebruik maken van Kaspersky virtueel toetsenbord,het probleem is nu dat kaspersky incl. virtual keyboard in kaspersky pure pas werkzaam is nadat windows is opgestart.Ik gebruik nu maar het schermtoetsenbord van windows.Ik vindt dat iedereen bij aanmelden/inloggen op de pc gebruik moet kunnen maken van een speciaal beveiligd virtueel toetsenbord,i.v.m. keyloggers,immers als hackers jouw pc toegangspassword achterhalen is voor hen de slag al gewonnen.Ja toch?
27-10-2012, 12:12 door Anoniem
"Voor SpeedFan geldt dat voor een deel van de functies administrator-rechten nodig zijn en SpeedFan daardoor niet zomaar automatisch gestart kan worden in een standaardgebruikersaccount. Zonder het starten met administrator-rechten worden de HDD's niet gedetecteerd door Speedfan en daarmee ook niet de weergave van de HDD-temperaturen, en bestaat dus niet de mogelijkheid om op basis daarvan de systeem-fans aan te sturen."

Kijk dat is nou een voorbeeld van een slecht gemaakt programma, waarschijnlijk gemaakt door iemand die de hele dag als Administrator werkt en de ontwerprichtlijnen van Microsoft aan zijn laars lapt.

Als die meneer zich een beetje verdiept had in de mogelijkheden dan had hij dat wel werkend kunnen maken.
Bijvoorbeeld door het actieve deel van de software te installeren als een service en de user interface daar los van te houden.
Dan hoef je ook de user interface niet te starten om de functionaliteit van het programma te hebben.
01-11-2012, 10:49 door Anoniem
Mens, nooit internetbankieren op je standaard pc setup.

Neem een linux live cd zoals LPS en ga daar mee bankieren.

Geen wachtwoord voor admin? Slecht, onveilig idee. Je kan ook applicaties met alternatieve credentials starten in windows door op de rechtermuisknop > properties te klikken en dan Run As, kun je t wachtwoord volgens mij in 'hardcoden' en gewoon starten die handel.

wijzig (via management instrumentarium - wmi ofzo) std gebruikersnaam Administrator in iets anders. Guest acct uitschakelen, gebruik encryptie voor heel persoonlijke data of zet ze niet op een internet computer.

en zet nou eens al die achterlijke services uit, net als fast user switching, remote registry, netbios helper, server, rdp (terminal services/hulp op afstand) enzo. client voor ms networks/netbios/netbieu, sharing services op netwerkadapter uit zetten. wtf moeten mensen altijd met thema's? wat een bende resources voor HELEMAAL NIX. bovendien vind ik gewoon kaal, grijs zonder thema niet alleen sneller, ook overzichtelijker enzo. maar ja je moet het zelf maar weten met je toeters en bellen.

gebruik fancy oplossinkjes als sandboxie, alternative pdf reader als mupdf en een dikke av/fw EN KLIK NIET OVERAL OP WAAR JE MET JE DIKKE GOK NAAR ZIT TE LOEREN. gebruik virtual machine of een testbak ofzo voor je klik en test reflexen.

zet flash/javascript standaard uit en zorg dat je moet klikken op een flash object ofzo voor dat ie geladen wordt. zorg dat je browser roept dat het een ander programma is dan het werkelijk is (user agent).

flash je bios met de laatste firmware, zo ook met je router, en een dik password erop PLUS goeie instelling als een hele boel rejecten / goeie routes EN AUB GEEN REMOTE CONFIG PANEL.

maak images van je bios, harde schijven (inclusief mbr / disk signatures etc) zodat je bij calamiteiten de hele boel razendsnel terug op orde hebt.

als je dat nou allemaal gewoon doet, gaat het al een stuk beter en veiliger. en remember, NOOIT bankieren met je standaard internet systeem. mens du, vragen om problemen dat. start die bak dan ten minste op je bankiermomentje op vanaf CD en zorg dat die CD niets met je lokale harde schijf te maken wil. gewoon kaal van die cd af bankieren, zo doe je dat. in principe zijn alle live cd's met firefox versie/chromium goed te gebruiken. eventueel even user agent aanpassen zodat ie niet zeurt over versie conflicten.
02-11-2012, 02:09 door [Account Verwijderd]
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.