Gebruikers instellen

> Index <

Wie gaat deze computer gebruiken?

Een onbekend bestand downloaden
Virusscanners
Een bestand op virussen controleren
Wormen, dialers en andere malware
Het nut van een persoonlijke firewall
De gouden regel: Werk nooit als beheerder

Gebruikersaccounts aanpassen

De manier waarop gebruikers zich aan- of afmelden wijzigen
Gebruikers beheren met Accountview

Bekende valkuilen

De onbekende Eigenaar
De verborgen Administrator
Het verborgen gastaccount
Het vergeten beheerderswachtwoord

Een partitie van FAT32 naar NTFS converteren

Literatuur



Wie gaat deze computer gebruiken?

> Top <

Tijdens de XP installatie kon u de hoofdgebruiker (Eigenaar) en de andere computergebruikers instellen.

Maar de meeste Windows gebruikers installeren XP niet zelf. Ze hebben een Windows OEM gekocht, die met recentere stuurbestanden van de hardwareleverancier kwam. De PC stond zonder gebruikersnaam en wachtwoord voor hen klaar.



Belangrijke aanwijzingen worden dan niet gezien:


U kunt, nadat u Windows hebt geïnstalleerd, wachtwoorden instellen en de machtigingen voor elke gebruiker beperken of meer gebruikersaccounts toevoegen.
Klik op Configuratiescherm in het menu Start en vervolgens op gebruikersaccounts.



Machtigingen voor elke gebruiker beperken heb ik met opzet vet gemaakt. Want standaard geeft Windows XP Home iedere nieuwe gebruiker beheerdersrechten. Terwijl dit voor hun doel (Windows gebruiken) helemaal niet nodig is. Het is zelfs schadelijk voor Windows XP gebruikers. Ze misbruiken Windows er alleen maar mee. Want Windows XP was voor gebruikers met beperkte rechten bedoeld.

Omdat Windows XP slechts veilig te gebruiken is door is gewone gebruikers, moet u voor uzelf en voor de ander computergebruikers nieuwe accounts aanmaken met beperkte rechten. Maar waar gaat het nu eigenlijk om?

Onder Windows XP zal iedere gebruiker een gebruikersnaam en bijbehorende gebruikersrechten bezitten. Omdat iedereen kan zeggen dat hij Sinterklaas is moet ook iemand die zich Sinterklaas noemt over een geldig wachtwoord of ander aan uw computer bekend herkenningsteken beschikken. Anders laat u hem er niet in. En als u een Goede Sint niet vertrouwd, geeft u hem in uw huis beperkte rechten en houdt u in de gaten wat hij doet. Anders is uw huis (Sinterklaas kapoentje, kom maar binnen met uw virusknecht) snel met illegale rommel volgepropt of leeggeroofd.

Toch worden vrijwel alle Windows XP systemen zonder gebruikersnamen, wachtwoorden en gebruikersrechten afgeleverd. Dus iedereen komt er zomaar in. En als u het systeem niet zelf installeerde zag u bovenstaande aanwijzingen niet. Maar als u geen inlogscherm ziet als XP opstart, dan is uw naam Eigenaar of Administrator en uw wachtwoord een lege string (""). En dan kan iedereen die dit weet ook van afstand bij u voor beheerder of Sinterklaas spelen.

Wat zijn de verschillen tussen computer beheerders en gewone gebruikers?

Een beheerder kan alle programma's opstarten en installeren die hij tegenkomt. Dus ook het eerste het beste virus of Trojaanse paard dat hij via zijn email- of bladerprogramma opstart. En dan gaan die de computer gebruiken.... Een kundig beheerder vermijdt het daarom om onder zijn beheerdersacccount het internet op te gaan. Dit geldt als een grove kunstfout in het bedrijfsleven. Het is een reden voor ontslag. Beheerders gebruiken het internet en hun email altijd accounts daarom met beperkte rechten. Ze gebruiken het beheerdersaccount alleen voor echte beheerderstaken als:

Als een beheerder zijn werk goed doet, kunnen de gewone gebruikers de Windows computer veilig gebruiken. Maar als de beheerder zich als een standaard Windows gebruiker gedraagt, zal iedere gebruiker de bekende Windows ellende over zich heen krijgen. Misschien vandaag niet, maar die dag komt onvermijdelijk. Het is slechts een kwestie van kansberekening wanneer u weer een schone installatie nodig hebt.

Een gewone Windows XP gebruiker met beperkte rechten kan alle voor Windows XP geschreven programma's gebruiken die hij wil. Office, spelletjes en internet, mits ze voor Windows NT en opvolgers geschreven zijn. Zo nodig kan de voor die programma's verantwoordelijk beheerder verouderde Windows programma's in een comptabiliteitsmodus laten opstarten. Maar het is aan de beheerder om te beslissen of hij dat wil.

Gewone Windows XP gebruikers mogen in hun eigen mappen (/Documents and settings/gebruikersnaam) bestanden aanmaken en wijzigen. Eventueel kunnen ze die met anderen delen (gedeelde mappen). Maar alleen beheerders hebben een schrijfrecht in systeemmappen als Windows en Program Files. Gebruikers mogen deze programma's slechts beperkt lezen en uitvoeren.

Gebruikers met beperkte rechten kunnen geen programma's installeren. Dat kunnen slechts de Power-users en Administrators die ook schrijfrechten op de systeemmappen hebben. Power-user of Administrator zijn klinkt wel stoer, maar u bent zo bijzonder kwetsbaar. Als u met zo'n account het internet opgaat is uw Windows besturingssysteem al zo lek als een zeef. Ieder script op een webpagina vormt een gevaar. Malware, dialers, virussen, alles laat zich installeren.

Wie zich dus echt stoer wil gedragen gaat er slechts met een account met beperkte rechten op uit. En houdt de deuren van zijn systeemmappen op slot.

Een onbekend bestand downloaden

> Top <

Ieder programma dat een beheerder uitvoert, krijgt de rechten van het systeem. Het programma mag bestanden wissen, vervangen, de vaste schijf formatteren, de firewall uitzetten, de netwerkconfiguratie wijzigen en het internet opgaan. En dat alles ongevraagd. Wilt u dergelijke risico's lopen? Wanneer wel en wanneer niet?

Daarom vraagt Internet Explorer (IE) u bij ieder bestand dat u van het internet haalt: Wilt u dit bestand uitvoeren of opslaan? Internet Explorer geeft de naam, het opgegeven type en de herkomst van het bestand op.

Een bestand van het domein: download.microsoft.com kunt u als legitieme Windows gebruiker wel vertrouwen. Maar niet als u een illegitieme Windows of Linux Wine gebruiker bent.

Als u een bestand zoekt dat u graag wilt installeren, dan is het wel zo gemakkelijk om als beheerder het internet op te gaan. U zoekt, klik op Uitvoeren en u installeert het programma op uw systeem. Maar als u als beheerder het internet opgaat, kunt u ook allerlei kwalen oplopen. Zie ook Waarom beperkte gebruikersrechten nodig zijn.

Omdat u hiervoor het internet op moet is het veiliger bestanden alleen als gewone gebruiker te downloaden. Tenzij u meteen en alleen maar naar Windows Updates toegaat. Maar het downloaden en installeren van Windows updates kan ook automatisch zonder dat u als beheerder het internet op hoeft te gaan. Zie: Service Pack 2 installeren en onderhouden.

Als het op het internet aangetroffen bestand MP10Setup.exe een virus of een rootkit is, kunt u het best op annuleren klikken of het bestand buiten het zicht van de kinderen opslaan. Daarna is het wijs om er als gewoon gebruiker uw virusscanner op los te laten.

Virusscanners

> Top <

Het opgeslagen bestand kunt u met een virusscanner openen. De virusscanner moet natuurlijk wel te vertrouwen zijn: hij moet actueel en stabiel zijn en zich niet door het virus laten manipuleren. Virusscanners hebben weliswaar een extra beveiligde brievenbus, maar ze kunnen zich in grote en onbekende postpakketten verslikken. Vandaar dat ze grote iso-, mpg- en onbekende bestandstypes liever overslaan. Wie wint? De virusscanner of het bestand? En kunt u dat beïnvloeden?

Viruscanners worden getest op hun eigenschappen om bekende virussen snel te herkennen en te vernietigen. Maar op het herkennen van nieuwe virussen kunnen actuele virusscanners natuurlijk niet worden getest. Ze kunnen een nieuw programma hoogstens via reverse engineering herkennen aan zijn potentieel kwalijke acties. Maar als ze per abuis een ongebruikelijk nieuw programma voor een virus aanzien hebt u een probleem. Virusscanners houden ook niet van andere virusscanners. Meestal happen ze naar elkaar. In de regel bent u af met een enkele scanner dan met twee ruziemakende virusscanners. Tenzij u ze via uw netwerk serieel schakelt.

Hoe herkenen virusscanners nieuwe bestanden? De zogeheten heuristische virusscanners openen uitvoerbare bestanden in een virtuele omgeving om te zien wat ze uitvoeren- bij Norman noemt dit een sandbox. In de zandbak mag het beestje zijn ware aard laten zien. Voordat het in de porseleinkast van Windows toegelaten wordt. Bepaalde acties zijn typerend voor veel virussen. Daar worden ze aan herkend. Vervolgens worden ze vernietigd. Maar een goede beoordeling kost tijd. Vandaar dat on-acces virusscanners uw systeem altijd zullen vertragen. Bovendien zullen onconventionele nieuwe virussen gemakkelijk aan die heuristische (=dogmatische: zo zijn virussen eenmaal) beoordeling kunnen ontsnappen. Want net als in het echte leven is de grens tussen goed en kwaad vaak subtiel.

Goede virusscanners scannen ook on-access. Dat wil zeggen dat ze alle, nieuwe of gewijzigde uitvoerbare bestanden inspecteren voordat u of een door u gebruikt programma ze activeert. Ook dat laatste komt voor. Want u bent niet de enige die uw programma's opstart. Veel Windows programma's doet dat uit zichzelf of als een ander programma (bijv. een netwerkworm) contact met hem opneemt. Denk aan Outlook en de vele Windows diensten. Zie: Diensten activeren en deactiveren. En uw diensten kunt u niet afleren om automatisch met onbekende bestanden in zee te gaan.

Stel u voert het "Windows versnellen in tien seconden script" uit. Misschien kwam u het in Outlook tegen. En dacht u dat het hyperlink was. Maar een script is een programma. Dit script bevat echter geen virus; het haalt alleen maar een virus of worm via het internet voor u op. Uw firewall reageert niet, want die heeft geen bezwaar tegen FTP. De virusscanner reageert evenmin. Een kwaadaardig script is op nog geen virus. En wat dit script aan boosaardige programma's ophaalt hoeft niet gescand te worden. Alle 65535 computerpoorten in de gaten gehouden, dat is geen doen. En zeker niet als u gigabytes aan illegale software en films download.

Op een "get virusnaam" reageert uw virusscanner nog niet. Dat is uw vrijheid van meningsuiting. Misschien legt u wel een virusdatabase aan. Maar het is wel belangrijk dat uw virusscanner reageert zodra het script het virusbestand uitvoert. Want dat was niet uw bedoeling. Maar dat ziet u weer niet. Want u hebt alleen op een scriptnaam geklikt waarvan u de inhoud niet kende. Daarom is het zo belangrijk dat een on-line virusscanner ook de achtergrondtaken van uw programma's voor u in de gaten houdt.

Maar als een virusscanner ieder door Windows gebruikt uitvoerbaar bestand on-access moet scannen wordt uw systeem tergend traag. Daarom kiezen veel virusscanner ervoor om alleen de nieuwe en of gewijzigde programma's van lokale gebruikers te scannen en niet de Windows systeemdiensten.

Een bestand op virussen controleren

> Top <

U kunt het best eerst de virusscanner opstarten. Dat gaat het gemakkelijkst door op het bestand rechts te klikken. Dan weet de virusscanner meteen waar hij moet kijken. Als de virusscanner een virus detecteert, zegt hij hap ik heb je. Maar ook als de scanner het virus niet herkend, is er nog niets aan de hand. Want een uitvoerbaar bestand wordt door de virusscanner weliswaar geopend, maar niet in het echt uitgevoerd. Pas als u er met de linker muisknop op klikt (met de shell opent) zal het schade aanrichten.

Wie met de linker muisknop op het bestand klikt (of meteen voor uitvoeren kiest), laat het er dus op aankomen. Want nu deelt het virus de eerste klap uit. Alleen een goed werkende on-access virusscanner en streng beperkte gebruikersrechten kunnen het virus nog stoppen. Een on-acces virusscanner controleert het uitvoerbare bestand voordat het zijn code via de shell laat uitvoeren. Als het een virus is (of erop lijkt!) wordt het onschadelijk gemaakt. En ook uw beperkte gebruikersrechten beperken de schade. Want waar u niet aankomen mag, daar kan het door u opgestarte virus zich ook niet nestelen. Vandaar dat de Power-user en Administrators die van alles mogen installeren de zwakke schakels in uw verdediging zijn...

Een virus wordt niet altijd tijdig herkend. Als u pech hebt wordt het virus pas aan zijn daden herkend. Of helemaal niet omdat uw scanner die dag achterloopt. U bent verloren als een ander virus uw virusscanner en firewall al voor zijn vriendjes uitgezet. De botnetfilm van de Waarschuwingsdienst is wat dat betreft wel illustratief.

Let wel: als het virus wint en u had ervoor gekozen om als power-user of systeembeheerder te werken, dan hebt u er een meedogenloze systeemgebruiker bij. Een virus kan zich dan diep in Windows (systeemmappen, registry) ingraven en loopt daarna als een onzichtbare systeemdienst op de achtergrond. Een virus heeft geen deïnstallatieprogramma. Een virusscanner of -verwijderingshulpmiddel kan het virus later nog wel herkenen en verwijderen, maar zelden zonder schade voor uw data en het systeem. En een virusscanner die door uw toedoen (als beheerder opstarten) zelf besmet raakt zal de meeste schade aanrichten.

Wormen, dialers en andere malware

> Top <

Wormen kunnen ook op de achtergrond uw systeem besmetten. Dus zonder dat u op een uitvoerbaar bestand klikt. Hier helpen beperkte rechten meestal niet. Ze doen dan niets anders dan de Windows Update, die via het internet de meest kritische systeembestanden aanpast. Alleen firewalls, on-acces scanners en vooral actuele en scherp geconfigureerde software kunnen u hiertegen beschermen. En achteraf zult u met een regulier geplande virusscan onder het beheerdersaccount de wormen moeten zien te verwijderen.

Dialers, Trojaanse paarden en andere malware zullen meestal tijdens het surfen worden geïnstalleerd. Een firewall helpt hier niet, want u haalt die programma's zelf op. En ook virusscanners slaan niet altijd alarm, omdat het niet om virussen of wormen gaat. Vaak gaat het om commercieel geregistreerde applicaties. Maar als u als gebruiker met beperkte rechten surft is de kans op installatie van dergelijke malware vrij klein.

Het nut van een persoonlijke firewall

> Top <

De eerder genoemde MP10Setup.exe was het installatieprogramma van de Windows Media Player versie 10. Alle negen voorgaande versies hadden kwetsbaarheden op het internet Maar nu hebben we versie 10. Dus volgde ik braaf het overheidsadvies op om maar te updaten...

De Media Player nam meteen contact op met het Windows hoofdkwartier. Dat vertelde het programma mij niet, maar dat melde de firewall:

Wilt u wmplayer toegang verlenen tot het internet/netwerk?
Tip: geen

Ik weet niet wat het daar uitvoert. Gebruikers zonder adequaat ingestelde firewall zien niets. Als het een virus was kon het zich met mijn "Ja" via het internet verspreiden.

Veel Windows gebruikers voeren dergelijke handelingen de hele dag uit. Maar als ik ze vraag:

Weet je wat je met je muisklikken doet?
Weet je waarom de firewall je een verbindingswaarschuwing geeft?

dan vinden ze me al gauw te technisch. Ze zijn liever praktisch en klikken dus op ja bij ieder verbindingsverzoek. Ze hebben toch een firewall en een virusscanner geïnstalleerd? Maar helaas weten ze niet hoe ze die programma's moeten gebruiken. Onder een beheerdersaccount kan het eerste het beste programma hun beveiliging al uitzetten. In dergelijke handen zijn de door de overheid gepropageerde beveiligingsmaatregelen niet meer dan een wassen neus die slechts schijnzekerheid oplevert.

De gouden regel: Werk nooit als beheerder

> Top <

U moet beheerder zijn om de een programma te kunnen installeren. Want alleen een beheerder heeft toegang tot de alle mappen en bestanden op het Windows XP systeem. Daarom moet een beheerder ook precies weten wat hij doet. Op een uitvoerbaar bestand klikken om te weten te komen "of het wat is", is voor een serieuze systeembeheerder uit den boze.

Maar u kunt beter als een gewone gebruiker met beperkte rechten uw programma's gebruiken. Want als een geopend bestand schadelijke code bevat, is het beter dat het programma waarmee u het opent beperkte rechten heeft. Zodat een per abuis geactiveerd virus of Trojaans paard ook maar beperkte rechten op uw system krijgt. Het kan zich dan niet in de systeemgedeelten van de registry of de Windows mappen kan nestelen. Hierdoor blijft de schade beperkt.

Eigenlijk is het heel simpel. U moet iedere gebruiker (inclusief uzelf) beperkte rechten geven. En alles wat u lief is voor anderen beschermen op NTFS.

Maar omdat niemand een Windows PC wil waar je niets op kunt installeren, leveren de OEM leveranciers Windows PC's met beheerdersaccounts aan. En omdat Windows standaard iedereen beheerder maakt, krijgt iedere erop los klikkende nitwit teveel macht over de PC. U, uw kinderen en uiteindelijk (door overerving) alles wat zich via het internet op uw PC nestelt. Daar moet u wat aan doen.

Gebruikersaccounts aanpassen

> Top <



Ik ga nu nog zonder wachtwoord inloggen als hoofdgebruiker (Eigenaar, Owner, Administrator) om de gebruikersaccounts aan te passen.

Log in als beheerder.

Ga naar Start / Configuratiescherm / Gebruikersaccounts:

Hebt u nog geen beheerdersaccount aangemaakt (bijv. beheerder, Flappy of wat u maar wilt) dan moet u dat eerst doen.

Een nieuwe account aanmaken

De taak die u daarna kiest:

Een account wijzigen.




De opties zijn:



Standaard is iedere nieuw aangemaakte account Beheerder van deze computer. Microsoft ging er blijkbaar vanuit dat iedereen software moet kunnen installeren.

Maar uit onderstaande XP Home tekst blijkt dat uw kinderen met dit beheerdersaccount:

Omdat daarmee ook iedereen programma's (incl. virussen, spyware) via het internet kan installeren, moet u ervoor zorgen dat uw gewone gebruikers alleen accounts met beperkte toegangsrechten krijgen. Op het netwerk geeft u ze bovendien een wachtwoord.

Kies daarom:

Een wachtwoord instellen voor uw beheerder.

U kiest er bij voorkeur ook voor uw mappen en bestanden persoonlijk te maken. Doet u dat niet dan kunnen alle andere gebruikers en/of hun programma's (spyware, peer-to-peer) altijd uw persoonlijke bestanden inzien en verspreiden. Ook als u die andere gebruikers in rechten beperkt hebt. Zie: Eenvoudig bestanden delen.

Daarna kiest u voor:

Een ander account wijzigen.

U geeft de nu gewone gebruikers een wachtwoord en maakt hun mappen en bestanden persoonlijk.

En u verandert het type account in :

Beperkte mogelijkheden

Dit doet u voor iedere gebruiker inclusief uzelf, maar u zorgt er wel voor dat er een beheerdersaccount in het inlogscherm beschikbaar blijft. En om uzelf beperkte rechten te geven, moet u natuurlijk wel eerst het beheerdersaccount aanmaken en als de beoogde beheerder inloggen.

De manier waarop gebruikers zich aan- of afmelden wijzigen

> Top <

Voor professionele gebruik is het verstandig om in Configuratiescherm/ Gebruikersaccounts/ De manier waarop gebruikers zich aan- of afmelden te wijzigen.

Standaard staat het Welkomstvenster aan. Het venster bevat de namen van de gebruikers. En dat betekent dat een vreemde die uw PC eens wil uitproberen, dat deel van de inlogprocedure al kent. Want de beveiliging berust op het principe: Halt, wie daar? En dan geeft u de juiste gebruikersnaam en wachtwoord. En als u zich ter bescherming van uzelf een wat ongewone gebruikersnaam (sjv1) geeft, moet Windows die naam niet tonen.


In het bedrijfsleven komt er nog bij dat een werkstation door zeer veel gebruikers gebruikt kan worden (domein logon).

Daarom gebruikt men in het bedrijfsleven de klassieke manier van aanmelden. Hierbij moet u zelf uw gebruikersnaam en wachtwoord opgeven. In Windows XP Professional kunt u in een derde veld uw domein opgeven. Helaas komt de handige optie Snel naar een andere gebruiker overschakelen (Winkey-L) dan te vervallen.


Gebruikers beheren met Accountview

> Top <

Op een Windows 2000 ex XP Professional werkstation kunt Lokale gebruikers en groepen beheren:

Start / Configuratiescherm / Systeembeheer / Computerbeheer / Lokale gebruikers en groepen

Maar Windows XP Home heeft geen hulpmiddel voor geavanceerd gebruikersbeheer. Zelfs de netopdrachten zijn gedeeltelijk uitgeschakeld:

Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\root>net group
Deze opdracht kan alleen worden gebruikt op een Windows-domeincontroller.

Typ NET HELPMSG 3515 voor meer hulp.

Dat die opdracht alleen maar op een domeincontroller zou mogen worden uitgevoerd is merkwaardig gezien het feit dat Windows XP Home niet eens een domeinlogon toestaat. Maar om daarvoor Windows XP Professional te gaan kopen, is mij ook wat te gortig.

Gelukkig heeft de Russische firma Native Computer Systems een heleboel gratis versies van haar netwerkutilities gemaakt. Ze zijn nog via het Internet Archive te downloaden. De belangrijkste zijn:

NetClick.LE - een manier om computers in het Windows netwerk te beheren.

ACLView - een programma om NTFS permissies te beheren

ServiceView - een programma om diensten en stuurbestanden te beheren.

AccountView - Een programma om Windows gebruikersaccounts te beheren (zie hieronder).

Who Is Connected? Een programma dat in beeld brengt wie er via het Windows netwerk op uw computer inlogt.




Met Accountview krijgt u meer controle over Windows XP Home gebruikers. In Met AccountView toegangstijden voor de computergebruikers instellen staat beschreven hoe u de kinderen alleen op bepaalde tijden kunt laten computeren ("Logon hours").



Bekende valkuilen

> Top <

Hieronder bespreek ik enkele bekende valkuilen met betrekking tot de gebruikersaccounts. Neem ze goed door, want als u niet oplet wordt uw computer toch weer gekraakt.

Ik bespreek achtereenvolgens: de onbekende Eigenaar, de verborgen Administrator en het verborgen gastaccount. Dit zijn allemaal standaard accounts die u dus niet zelf aangemaakt hebt en daarom gemakkelijk over het hoofd kunt zien. U moet ze met een wachtwoord beveiligen om lokale toegang en/of toegang van ene server op het Windows netwerk te voorkomen.

Ten slotte beschrijf ik een methode om het beheerdersaccount te kraken met een bootdiskette. Het laat u zien dat ultieme beveiliging geen makkie is. Maar u kunt zich ermee troosten dat deze methode niet op afstand werkt. Alleen degenen die fysieke toegang tot een gewone computer hebben kunnen lokaal een floppy of boot CD in de drivers aanbrengen.

De onbekende Eigenaar

> Top <

Op een nieuw systeem kan het voorkomen dat u helemaal geen inlogscherm ziet. In dat geval weet iedere Windows kenner wat uw naam en wachtwoord zijn, maar u als eigenaar weet het niet. Als u hier even over nadenkt, is dat een hoogst onwenselijke situatie.

Deze situatie doet zich voor als degene die XP installeerde bij het scherm Wie gaat deze computer gebruiken niets ingevuld had. Dat is meestal het geval op een nieuw OEM systeem. De Windows bestanden zijn er gewoon opgepompt, in een door iedereen te gebruiken standaard configuratie.

Degene die het oorspronkelijke systeem voor u installeerde heeft aangegeven dat er geen specifieke hoofdgebruiker zou zijn. En die krijgt gebruikersnaam Eigenaar op een Nederlands of Owner op een US/UK systeem. Het standaard beheerdersaccount kreeg geen wachtwoord mee. Logisch, want anders zouden de kopers van het OEM systeem zich beklagen, want zonder wachtwoord kwamen ze er niet in.

Nu is het de bedoeling dat u op zo'n nieuw systeem meteen gebruikersnamen en wachtwoorden instelt. Maar veel gebruikers slaan die stap over en proberen meteen het internet op te gaan. Wie dus even snel een Windows systeem op het draadloos netwerk (WLAN) wil hacken, browst "zijn" netwerkomgeving dus onder de naam Owner of Eigenaar. Op afstand lukt dat ook door een IP adres onder Map: \\server-ip\share in te voeren.

Het is voor u en de kinderen misschien wel gemakkelijk als Windows zonder wachtwoord opstart, maar hiermee neemt u enorme risico's. Als u niet oppast beschikken miljarden internetgebruikers over uw PC.

Hoe herstelt u dit? Log in veilige modus (F8) in als administrator en geef uzelf (gebruiker: Eigenaar) een andere naam in Configuratiescherm / gebruikersaccounts. En maak dan meteen een beperkt account voor uzelf aan waarmee u aanzienlijk veiliger kunt werken. En bescherm al uw accounts met wachtwoorden.

De verborgen Administrator

> Top <

Bent u als (gewezen) Eigenaar de enige beheerder van de computer? Nee, er bestaat ook nog een "verborgen" account met de naam Administrator, dat op een fris geïnstalleerde XP Home editie géén wachtwoord heeft. Dat is handig voor de OEM leverancier, want als de PC het niet doet kan hij toch met volledige rechten op Windows inloggen om uw probleem te verhelpen. Maar dit van het welkomstscherm verdwenen beheerdersaccount kan ook misbruikt worden. Bijvoorbeeld door uw kinderen of anderen die deze geheime achterdeur wel kennen.

Door zelf als Administrator in te loggen kunt u dit verborgen beheerdersaccount een wachtwoord geven. Hoe dat u dat?

Op Windows 2000 en XP Professional kunt u met Ctrl-Alt-Del als Administrator inloggen. Onder Windows XP Home reboot u Windows en toetst u meteen F8 terwijl Windows boot. U ziet dan de Geavanceerde opties voor Windows.

Geavanceerde opties voor Windows
Selecteer een optie:
 Veilige modus
 Veilige modus met netwerk 
 Veilige modus met opdrachtprompt
 
 Logboekregistratie voor opstartprocedure inschakelen
 VGA-modus inschakelen
 Laatste bekende juiste configuratie (recente instellingen die werkten)
 Actieve Directory terugzetten (alleen Windows-domeincontrollers)
 Foutopsporingsmodus
 Automatisch opnieuw opstarten bij systeemcrash uitschakelen

 Windows normaal opstarten
 Opnieuw opstarten
 Terug naar het menu met besturingssystemen

Gebruik de pijltjestoetsen om een besturingssysteem te selecteren.

Daarna kiest u voor een variant van Veilige modus. De eerste is de beste. Kies liever geen Veilige modus met netwerkondersteuning voor een PC die (zonder externe firewall router) direct op het internet aangesloten is. Want Norton en andere Internet Security programma's zullen in "Veilige modus" niet werken...

Het inlogscherm van de veilige modus toont beheerderaccounts. Wat dat betreft is de veilige modus niet zo veilig. Alles wat u en/of een slecht programma in veilige modus doen, kan het systeem schaden. En daarom is het internet taboe. Maar de situatie is op zich veiliger dan die van de Eigenaar die met beheerdersrechten onder XP werkt, omdat in de veilige modus veel potentieel gevaarlijke diensten en stuurbestanden uitgeschakeld zijn. Vandaar dat u na een systeemcrash het voorstel krijgt om in veilige modus op te starten.

Er was al een extra beheerder/Eigenaar "root" met wachtwoord ingesteld. Deze verscheen ook op het gewone inlog scherm.

Nu kiest u voor Administrator. Een wachtwoord is (nog) niet nodig. Maar zodra u binnen bent gaat u via Start / Configuratie naar Gebruikersaccounts om deze standaard Administrator een goed wachtwoord te geven. Voordat de eerste de beste hacker dit doet. Daarna is uw Windows installatie weer wat beter tegen indringers van binnen beschermd.

Vraag: kan de Administrator ook in het gewone inlogscherm verschijnen? Ja dat kan met een speciale register sleutel.

Log in als beheerder (eventueel in veilige modus). Ga met regedit (Start / uitvoeren / regedit) naar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList. Selecteer de UserList. Maak een nieuw DWORD aan (Rechts klikken / Nieuw / DWORD) met naam Administrator en geeft het de decimale waarde 1. Daarna verschijnt de standaardbeheerder ook in het opstartscherm. Wilt u een gebruikersnaam van het het opstartscherm verwijderen, dan vult u een 0 als decimale waarde in. Overigens zal de gebruiker er door tweemaal Ctrl-Alt-Del te toetsen nog wel in kunnen komen.

Vraag: Kan een wildvreemde via het netwerk als Administrator zonder wachtwoord inloggen? Als ik Aaron Margosis in The easiest way to run as non-admin mag geloven is dat niet het geval:

Starting with Windows XP, a blank password is actually more secure for certain scenarios than a weak password. By default, an account with a blank password can be used only for logging on at the console. It cannot be used for network access, and it cannot be used with RunAs.

Oftewel met een valide gebruikersnaam zonder wachtwoord kunt u zich wel via het welkomscherm aanmelden, maar niet via het netwerk. Maar dat is niet altijd waar. In ieder geval niet met Eenvoudig delen. Ik raad u daarom wel degelijk het gebruik van wachtwoorden aan.



Het verborgen gastaccount

> Top <

Op Windows XP speelt het gastacccount een belangrijke rol. Bij Windows XP Home is het gebruik van het gastaccount de enige methode om bestanden via het netwerk te delen; bij Windows XP Professional wordt het gebruikt bij het "Eenvoudig delen" van bestanden in een werkgroep. Voor details zie: Eenvoudig delen .

Maar als u onder Windows XP Home naar Gebruikers Accounts gaat en op het Gastaccount klikt, ziet u maar twee opties:

Een andere afbeelding kiezen.
De gastaccount uitschakelen.

De eerst optie heeft natuurlijk met beveiliging niets te doen. Dat is slechts de oppervlakkige Windows eXPerience. En de tweede optie doet niet wat het zegt. Het gastaccount zit namelijk in Windows ingebakken. U kunt hem dus niet uitschakelen. De optie "De gastaccount uitschakelen" levert slechts een cosmetische operatie op: U ziet Gast niet meer in het inlogscherm, maar het gastaccount bestaat nog wel en iedere hacker weet dat.

U kunt dit nagaan door als Beheerder de gastacccount te deactiveren en dan via Start / Uitvoeren /cmd.exe op de prompt een net(werk) opdracht uit te voeren ("net users").

Microsoft Windows XP [versie 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\root>net users

Gebruikersaccounts voor \\XPHOMESP0

------------------------------------------------------------
Administrator Gast HelpAssistant
onpersoonlijk root sjoerd
SUPPORT_388945a0
De opdracht is voltooid.

Alleen de gebruikers root, sjoerd en onpersoonlijk waren in mijn inlogscherm te zien. De accounts SUPPORT_388945a0, Gast en HelpAssistant heeft Microsoft voor me aangemaakt. Maar goed, via een soortgelijke net opdracht kunt het gast-account wel een wachtwoord geven:

C:\Documents and Settings\root>net user gast password
De opdracht is voltooid.

Nu gaat u weer terug naar Configuratiescherm / Gebruikersaccounts en voilà: u kunt nu wel een wachtwoord aan het gastaccount geven (als Beheerder, maar niet in Veilige modus). En doe dit meteen! Hang eventueel aan de monitor een briefje op met het wachtwoord voor uw genode gasten. Maar geef ongenode netwerkgasten geen kans om als Gast zonder wachtwoord in te loggen!

Want hoewel het gastaccount op een goed geconfigureerde Windows XP op NTFS maar beperkte rechten heeft, kan iedereen via het gastaccount allerlei rommel in uw gedeelde mappen plaatsen waar u ongetwijfeld per abuis (Wat is dit?) wel eens op klikt. En als uw XP slecht geconfigureerd is (systeembestanden nog op FAT32) dan is het gastaccount een nog veel gevaarlijker wapen. Zie : Waarom beperkte gebruikersrechten nodig zijn of ga meteen door naar het volgende hoofdstuk...

Een wachtwoord zetten op het gastaccount heeft slechts een nadeel: op Eenvoudig gedeelde bronnen inloggen met gebruikersnaam:wachtwoord lukt niet meer. In plaats daarvan logt u in als gast:wachtwoord. Maar met Eenvoudig delen zonder gastwachtwoord kan iedere gast zonder een wachtwoord op te geven bij u inloggen. Want Windows XP Home gooit uw netwerkwachtwoorden eenvoudig weg. Zie: Gebruikersrechten op Windows XP Home.


Het vergeten beheerderswachtwoord

> Top <

Als u alle gebruikers een wachtwoord gegeven hebt, kan het voorkomen dat iemand zijn wachtwoord vergeet.

Als het om een gewone gebruiker gaat, is dit niet zo'n probleem. De beheerder kan immers zo weer een wachtwoord voor hem aanmaken. Dat komt zo vaak voor, dat het ook op afstand gebeuren kan. Op een domein controller is het een standaard procedure en via de net opdrachten kan het ook in een werkgroep. Maar in de thuissituatie zal het het vooral een kwestie van fysiek op de lokale computer inloggen zijn.

Maar als u het wachtwoord van de beheerder vergeet hebt u wel een probleem. Wat is dan een goede procedure?

Ten eerste kunt u nagaan of in de Veilige modus via F8 als Administrator inloggen kunt. Is dat het geval, dan is uw probleem opgelost. U voert dan de procedure zoals beschreven onder De verborgen Administrator uit. U zorgt er dus voor dat zowel het standaard account Administrator en dat van de Beheerder/Eigenaar een wachtwoord krijgen.

Als dat niet lukt, moet u zich buiten Windows' NTFS beveiliging om toegang verschaffen tot het bestandssysteem. En dat kan alleen maar door een bootdiskette of CD te laden die een stuurbestand voor NTFS en Registry editor heeft.

Een methode staat beschreven in : Bijlage 2. Het Windows beheerderswachtwoord kraken met de Offline NT Password & Registry Editor vanaf een bootdiskette.

Op uw laptop en het thuisnetwerk kunt u deze truc met een Linux bootdiskette of boot CD voorkomen door via het BIOS het booten vanaf floppies en CD te verbieden en daarna een BIOS wachtwoord in te stellen. Maar als iemand op uw laptop de stroom uitschakelt en/of het BIOS wachtwoord kraakt is uw BIOS wachtwoord van generlei waarde meer.



Een partitie van FAT32 naar NTFS converteren

> Top <

Op FAT schijven kunt u geen gebruikersrechten kwijt. De gegevens die hierop staan kunt u dan niet beschermen. Om die reden is het zaak om als het even kan iedere niet met Windows 9x of een ander besturingssysteem gedeelde vFAT en FAT32 schijf naar NTFS te converteren. Het hulpmiddel dat u hiervoor gebruikt heet convert. Het is een utility dat u via de opdrachtverwerker (Start / Uitvoeren / cmd) kunt opstarten.

U moet de partitieletter weten (bijv C:) en de naam van het volume. De naam van het volume (hier PC DISK ) achterhaalt u met chkdsk [partitieletter]:

C:\Documents and Settings\root>chkdsk e:
Het type bestandssysteem is FAT32.
Volume PC DISK gemaakt op 11-3-2006 18:31
Het volumenummer is A4AB-94E8
Controleren van bestanden en mappen...
De bestanden en mappen zijn gecontroleerd.
Het bestandssysteem is gecontroleerd, er zijn geen problemen vastgesteld.

2.134.441.984 bytes totale schijfruimte
 45.056 bytes in 11 mappen
 87.375.872 bytes in 343 bestanden
2.047.019.008 bytes beschikbaar op de schijf

 2.048 bytes per cluster
 1.042.208 clusters in totaal op schijf
 999.521 clusters beschikbaar op schijf

Voordat u de FAT schijf naar NTFS converteert (hier een schijf E:) zal Windows die partitie op fouten controleren. Worden er fouten aangetroffen op een schijf met geopende bestanden, dan moet Windows eerst worden afgesloten voordat de schijfcontrole en conversie kunnen worden afgerond. Dit gebeurt dan tijdens het opstarten.

C:\Documents and Settings\root>convert e: /fs:ntfs
Het type bestandssysteem is FAT32.
Voer de huidige volumenaam in voor station E: PC DISK
Volume PC DISK gemaakt op 11-3-2006 18:31
Het volumenummer is A4AB-94E8
Controleren van bestanden en mappen...
De bestanden en mappen zijn gecontroleerd.
Het bestandssysteem is gecontroleerd, er zijn geen problemen vastgesteld.

2.134.441.984 bytes totale schijfruimte
 45.056 bytes in 11 mappen
 87.375.872 bytes in 343 bestanden
2.047.019.008 bytes beschikbaar op de schijf

 2.048 bytes per cluster
 1.042.208 clusters in totaal op schijf
 999.521 clusters beschikbaar op schijf

Bezig met het bepalen hoeveel schijfruimte er nodig is voor de conversie
van het bestandssysteem.
Totale schijfruimte: 2092576 kB
Vrije ruimte op volume: 1999042 kB
Vereiste ruimte voor conversie: 15367 kB
Bezig met het converteren van het bestandssysteem
Conversie voltooid

Literatuur

> Top <


Protecting Shared Folders In Windows XP Home : geef een wachtwoord aan het verborgen gast account.

Offline NT Password & Registry Editor: Wachtwoord kwijt?

Informatie van Microsoft:

Aanmelden bij Windows XP als u uw wachtwoord bent vergeten of als uw wachtwoord is verlopen

Een beschrijving van de opstartopties in de veilige modus van Windows XP

Een FAT16- of FAT32-volume converteren naar het NTFS-bestandssysteem in Windows XP.

Foutbericht: Kan u niet aanmelden vanwege een accountbeperking