Tien veiligheidsaspecten voor pc's en laptops in een netwerk

Draagbare computers worden vaak gebruikt buiten de beschermende grenzen van het bedrijfsnetwerk; denk aan andere thuisnetwerken, hotelnetwerken, draadloze hotspots en internetcafés. Op het moment dat een draagbare computer wordt aangesloten op een netwerk zonder beveiliging, of met een beveiligingstechnologie waarvan bekend is dat deze zwakke plekken vertoont, kan deze het doelwit worden van schadelijke aanvallen of door andere computers binnen het onbeschermde netwerk worden besmet. Met het goed configureren van de draagbare computer is dit amper te voorkomen. Het is daarom zaak dat gebruikers (u en uw collega's) er goed van doordrongen zijn, dat zij hun draagbare computer nooit met een onvoldoende beveiligd netwerk mogen verbinden.

 

Vanaf Windows 2000 kent het Windows-besturingssysteem de mogelijkheid de vaste schijf, de mappen en hun inhoud te formatteren volgens het bestandssysteem NTFS. NTFS is een geavanceerder bestandssysteem dan FAT en FAT32 en waarborgt de consistentie van het volume door middel van transactieregistratie en hersteltechnieken. Zodra er iets misgaat, zal NTFS aan de hand van een logboekbestand en controlepuntinformatie de consistentie van het bestandssysteem herstellen. NTFS biedt bovendien compressiemogelijkheden, toegangscontrole door middel van machtigingen en EFS-ondersteuning, waarmee losse bestanden en groepen bestanden kunnen worden gecodeerd.

 

NTFS biedt geen bescherming tegen fysieke aanvallen, maar gezamenlijk maken de genoemde eigenschappen het een aanvaller zo moeilijk mogelijk. Want zelfs al lukt het hem fysieke toegang te krijgen tot een NTFS-schijf en de NTFS-machtigingen te omzeilen, dan stuit hij tegen het breken van de EFS-codering.

 

FAT en FAT32 daarentegen bieden geen enkele beveiliging op bestandsniveau. Wie toegang weet te krijgen tot uw computer, heeft dus meteen toegang tot het volledige bestandssysteem. Zijn de vaste schijven in uw Windows-systeem niet geformatteerd volgens NTFS, dan is een conversie van FAT naar NTFS aan te raden.

 

 

Opmerking: Sommige oudere programma's werken mogelijk niet op een NTFS-volume. Onderzoek daarom eerst de systeemvereisten van uw software voordat u de vaste schijf converteert. 
 

Encrypting File System of EFS is een Microsoft-technologie die sinds 2000 in de Windows-besturingssystemen is opgenomen. Het betreft een proces om gegevens zodanig te versleutelen dat onbevoegden niets met de gegevens kunnen. Als een computer wordt gestolen, helpt EFS te voorkomen dat iemand toegang kan krijgen tot uw bestanden. Zelfs als de vaste schijf in een andere computer wordt gebouwd zal het niet lukken de bestanden te openen.
 
Met EFS kunt u bestanden en mappen coderen die zijn opgeslagen op een NTFS-volume. Codering voor mappen verdient overigens de voorkeur boven codering van losse bestanden, omdat alle bestanden in de desbetreffende mappen dan automatisch gecodeerd worden.

 

U past EFS als volgt toe: 

 

Om EFS uit te schakelen en de versleuteling op te heffen herhaalt u deze actie en vinkt u de optie in stap 4 uit.

 

Bitlocker is een door Windows Vista Ultimate ondersteunde encryptietechnologie, bedoeld om een complete vaste schijf of ander opslagmedium te beschermen. Bitlocker werkt met de Trusted Platform Module (TPM)-chip. Deze nieuwe chip zit niet in de oude generatie computersystemen. Welke pc's wel over deze chip beschikken en hoever deze technologie gevorderd is, kunt u nalezen op de website van de Trusted Platform-werkgroep.

 

 

Het maken van back-ups van uw bestanden helpt bij het beschermen van uw gegevens tegen onbedoeld wissen of beschadiging als gevolg van een spanningspiek, hardwarestoring of opzettelijke daad van een kwaadwillende gebruiker. Het regelmatig maken van back-ups is een goedkope, proactieve methode om uw waardevolle gegevens te beschermen. Meer informatie over het maken van back-ups en het terugzetten van gegevens met back-up vindt u op de TechNet-website.
 
» Meer informatie over back-ups maken

 

Een van de eenvoudigste manieren om toegang tot de informatie door onbevoegden te bemoeilijken is het gebruik van sterke wachtwoorden. Sterke wachtwoorden zijn belangrijk omdat hulpprogramma's voor het raden van wachtwoorden steeds beter worden, terwijl ook de computers die voor dit doel worden ingezet steeds krachtiger worden. Het gebruik van sterke wachtwoorden op computers thuis of in een klein kantoornetwerk, evenals op afzonderlijke computers die geen deel uitmaken van een netwerk, kan helpen toegang tot uw informatie door onbevoegden te voorkomen.

 

» Meer informatie over sterke wachtwoorden

 

Virussen worden vaak verspreid door middel van e-mail en websites. Wormen en virussen kunnen gegevensverlies op uw computer veroorzaken, de werking van uw computer ontregelen of zelfs volledig lamleggen. Ook kunnen ze toegang tot uw computer door onbevoegden mogelijk maken of uw computer geschikt maken voor gebruik in een aanval gericht tegen andere computers. Het is daarom aan te raden op elke computer antivirussoftware te installeren en het antivirusprogramma minstens eenmaal per week alle bestanden op de computer te laten controleren.

 

Omdat telkens nieuwe virussen verschijnen, moeten de signatuurbestanden van de antivirussoftware regelmatig worden bijgewerkt om uw computers tegen besmetting te blijven beschermen. Als een infectie wordt aangetroffen, kan de antivirussoftware de geïnfecteerde bestanden repareren of isoleren.

 

Het regelmatig bijwerken van het besturingssysteem en andere software met de nieuwste updates helpt de kans op toegang tot uw netwerk door onbevoegden te verkleinen. Een regelmatig onderhoudsschema is de beste methode voor het uitvoeren van updates.

 

Een efficiënte methode om ervoor te zorgen dat uw computer altijd over de meest recente updates beschikt, is om uw computer zodanig te configureren dat deze automatisch de software bijwerkt vanaf internet of een centrale updateserver, bijvoorbeeld met behulp van het hulpprogramma Automatische updates.

 

U vindt deze in Windows Vista via Configuratiescherm >> Windows Update (Windows XP: kies Start >> Windows Update).

 

Een andere methode is het bezoeken van de Microsoft Windows Update-website en de updates handmatig installeren.

 

Een firewall maakt uw bedrijfsnetwerk, uw computer en uw laptop onzichtbaar vanaf het internet. Daarmee helpt de firewall voorkomen dat indringers toegang tot de systemen kunnen krijgen via de internetverbinding. Zodra een draagbare computer buiten de beschermde omgeving van het bedrijfsnetwerk verbinding met internet maakt, zijn zowel de gegevens op de computer als de verbinding ervan met internet of het bedrijfsnetwerk blootgesteld aan aanvallen.

 

Computers die thuisverbinding maken met internet of een bedrijfsnetwerk kunnen eveneens worden getroffen. Ook als u uw computer gebruikt vanaf een externe locatie, is het dus aan te raden een firewall te gebruiken. Hoewel u elders wellicht informatie aantreft die het tegendeel beweert, is het aan te bevelen de Windows-firewall in te schakelen.

 

Windows Vista en Windows XP Professional bevat firewallsoftware die u kunt gebruiken om de informatie die wordt uitgewisseld tussen internet en uw netwerk thuis aan banden te leggen. De functie 'Firewall voor internetverbindingen' wordt aanbevolen als eerste verdedigingslinie tegen virussen en andere mogelijk schadelijke inhoud op internet.

 

Het is aan te raden de functie Windows Firewall in te schakelen voor alle verbindingen waarvoor nog geen firewall is ingeschakeld. In Windows Vista kiest u Configuratiescherm >> Netwerkcentrum >> Windows Firewall (knop linksonder).

 

De Windows Firewall wordt voor elke verbinding afzonderlijk geconfigureerd. Als u bijvoorbeeld zo nu en dan een inbelmodem gebruikt en op andere momenten een DSL-modem gebruikt voor het maken van een verbinding met internet, moet u 'Firewall voor internetverbindingen' voor beide verbindingen afzonderlijk configureren.

 

 

De Windows Firewall houdt veel tegen, maar beschermt niet tegen alle vormen van aanvallen; e-mail en schadelijke websites kunnen de firewall mogelijk passeren. 

 

De laatste jaren is het aantal draadloze netwerken (802.11) aanzienlijk toegenomen. Deze toename is grotendeels te danken aan de WiFi-standaard, die de implementatie van draadloze netwerken zowel voor bedrijven als thuisgebruikers sterk heeft vereenvoudigd. Draadloze producten die werken volgens de standaard 802.11 en die het WiFi-waarmerk dragen, zijn ontworpen om moeiteloos samen te werken, ongeacht fabricaat of merk.

 

Beveiligingsproblemen treden op als beveiligingstechnologieën voor draadloze communicatie worden gebruikt waarvan bekend is dat er zwakke plekken in zitten, of wanneer de WiFi-toegangspunten geen enkele vorm van beveiliging van de draadloze communicatie kennen. Het is belangrijk dat gebruikers geen verbindingen maken met netwerken die niet de beveiliging bieden die door het bedrijf wordt verlangd.

 

Veel mensen geloven dat de draadloze 802.11b-signalen niet verder reiken dan hun draagbare computer aangeeft. In werkelijkheid kunnen 802.11b-signalen over aanzienlijk grotere afstanden worden opgevangen en wel door iedereen die over een WiFi-computer met een langeafstandsantenne beschikt.

 

De naadloze samenwerking tussen verschillende WiFi-apparaten heeft de implementatie van draadloze netwerken sterk vereenvoudigd. De keerzijde daarvan is dat - als u niet een of andere vorm van beveiliging van de draadloze communicatie hebt ingeschakeld - het betrekkelijk eenvoudig is om met een draadloze computer toegang te krijgen tot uw draadloze 802.11b-netwerk en de informatie op te vangen die wordt uitgewisseld tussen uw draadloze computers en het toegangspunt.
 
U kunt de beveiliging van een netwerk waarin draadloze 802.11b-componenten worden gebruikt vergroten door de stappen te volgen die worden beschreven in het artikel "Beveiliging van draadloos netwerk in 30 minuten".

 

» Meer over beveiliging van een VPN
» Externe toegang beveiligen

Opmerking: als u de functie 'Internetverbinding delen' gebruikt om meerdere computers in staat te stellen de internetverbinding van uw pc of notebook te delen, moet u geen inbelverbindingen of VPN-verbindingen naar het bedrijfsnetwerk maken vanaf de computer waarop de internetverbinding wordt gedeeld. Anders wordt alle verkeer dat op uw pc wordt gegenereerd doorgestuurd naar het bedrijfsnetwerk. In de meeste bedrijven wordt dit gezien als een schending van het beveiligingsbeleid van het bedrijf.
 
Overigens is het meestal wel aanvaardbaar een VPN- of inbelverbinding te maken vanaf een computer die fungeert als client in een netwerk waarin de functie 'Internetverbinding delen' wordt gebruikt, omdat de omzetting van netwerkadressen (NAT-protocol) die wordt uitgevoerd door de functie 'Internet-verbinding delen' de nodige extra beveiliging biedt. Overleg met het aangewezen IT-personeel en de juridische medewerkers binnen uw organisatie kan de risico's van het gebruik van VPN's vaak beperken.