Windows NT technologie |
Windows XP en Windows 2000 Professional zijn op Windows NT technologie gebaseerd. Deze voor bedrijfsnetwerken bedoelde Windows werkstations maken gebruik van de bestandspermissies van het Windows NT bestandssysteem (NTFS). Een gebruiker die met zijn gebruikersnaam en wachtwoord op de server van een Windows NT domein inlogt krijgt niet alleen beperkte rechten op de servers, maar ook op zijn eigen werkstation. Dit is geen minpunt, maar een bewuste beveiligingspolitiek (domein policy). Zo kunt u meestal zelf geen software installeren en krijgt u maar beperkte of geen toegang tot andermans bestanden. Dat is soms frustrerend, maar als u of uw programma een fout maakt, blijft de schade beperkt. |
Het gevaarlijkste netwerk aller tijden |
Met breedband internet is de noodzaak van gebruikersaccounts met beperkte rechten nog veel groter dan in een domein. Want op het gevaarlijkste netwerk aller tijden kan iedere internetgebruiker de zwakke plekken van uw netwerkprogramma's misbruiken. Om die reden moest de consumentenversie van Windows XP (de Home editie) wel over NT's netwerkbeveiligingsmechanismen beschikken. En werken UMTS mobieltjes en routers vanaf een virusvrij Read Only Memory. Anders zou het inter- en telefonienetwerk snel verstopt raken door massale verspreiding van virussen en wormen. Alleen als vanwege uw beperkte rechten niet zomaar met een muisklik kwaadaardige programma's installeren kunt, kunt u op een Windows systeem nog relatief veilig het internet op. Maar anders - als beheerder onder XP of als gewoon gebruiker onder Windows 9x t/m ME, kunt u dit wel vergeten. |
Wormen, virussen en botnetwerken |
Iedere week worden nieuwe kwetsbaarheden in Windows applicaties ontdekt en ontstaan allerlei kwaadaardige programma's die ze misbruiken (malware, exploits). Deze kwetsbaarheden worden door de softwarefabrikanten minder snel gerepareerd dan ze ontstaan. In een onderzoek hadden crackers gemiddeld al na een week van het bekend maken van een lek een exploit (kwaadaardig programma), terwijl de fabrikanten er zeven weken over deden om de kritische lekken te dichten. Maar veel gebruikers weten niet dat ze hun programma's via een update naar veiliger versies kunnen opwaarderen. Ze maken nooit van een waarschuwingsdienst gebruik en hebben er geen idee van waar het om gaat. Dit geeft spyware alle kans. Digitale inbrekers, wormen en virussen profiteren hiervan. Ze werken op grote schaal anoniem vanaf al door hen gekaapte computers. Een geslaagde aanval maakt u op het internet nog kwetsbaarder dan u al was. Er ontstaan nieuwe gaten in uw verdediging die kunnen worden misbruikt om achterdeuren te installeren. Maar aanvankelijk merkt u daar maar weinig van. En dat geeft virussen, wormen en crackers weer volop de kans om zich via uw PC verder te verspreiden of andere schade aan te richten (zie bijv. de botnetfilm_nl.wmv). |
Beveiliging |
Als remedie tegen deze gevaren schrijft Microsoft drie noodzakelijke maatregelen voor: 1.) Het regelmatig actualiseren van kwetsbare programma's (updaten) 2). Het gebruik van een virusscanner 3). Het gebruik van een firewall. |
De minder blijde boodschap |
Maar wat Microsoft en andere voorlichters niet vermelden is: 1). Dat er voor veel beveiligingslekken in Windows programma's nog geen update is (Secunia database). Symantec (2006) vond dat hackers al binnen een week na de bekendmaking van een lek met exploitcode kwamen, terwijl softwareleverancier pas 7 weken later met de software-updates (patches) kwamen. U zou beter naar een veiliger programma of een ander besturingssysteem moeten overstappen, maar dat is iets dat Microsoft of onze overheid u niet zullen vertellen. 2). Dat viruscanners regelmatig virussen missen omdat ze achterlopen, niet meer actueel zijn of doodleuk door Windows virussen of hun gebruikers uitgezet worden. Beheerders zetten viruscanners regelmatig uit om sneller "hun" software te kunnen installeren. En aldus geïnfecteerde virusscanners (what's in a name?) besmetten in recordtijd uw systeem. 3). Dat firewalls moeilijker door leken in te stellen zijn, dan dat ze door virussen en hackers zijn te stoppen. 4). Dat virusscanners en firewalls geen afdoende bescherming bieden tegen spyware die Microsofts Internet Explorer automatisch voor u installeert. 5). En dat er ook veiliger niet van Microsoft afkomstige besturingssystemen en programma's bestaan, dat zullen uw in Windows beveiliging gespecialiseerde adviseurs u ook niet vertellen. Want dan verliezen ze hun baan. |
Single-user besturingssystemen |
Wat er in de overheidsvoorlichting te weinig benadrukt wordt is dat de oude single-user Windows besturingssystemen Windows 3.1, 95,98, en ME volstrekt machteloos zijn als het zoveelste "kritische lek" in Windows wordt geëxploiteerd. Een kritisch lek is een lek dat een hacker of cracker in staat stelt om uw PC volledig over te nemen. En dat is niet iets om te bagatelliseren. Tenzij u het voor elkaar krijgt om de rommel handmatig te repareren (uren werk), moet u Windows opnieuw installeren. Virussen, wormen en inbrekers krijgen altijd dezelfde rechten als de gebruiker van het door hen aangevallen programma. Dus de rechten van het programma met de kwetsbaarheid. Op de oude Windows systemen zijn dat altijd beheerdersrechten. En op FAT en FAT32 schijven kunnen zelf gebruikers met beperkte rechten systeembestanden overschrijven. Wat dat betreft is het doodzonde dat veel OEM leveranciers Windows 2000 en XP op het onbeveiligde FAT32 bestandssysteem installeren! De gebruikersrechten van bestanden op FAT 32 gaan naar de groep Iedereen. En iedere onbenul of virus kan ze dan om zeep brengen. Gelukkig kunt u dit op Windows 2000 en XP (hier op de C: drive) rechtzetten met convert c: /fs:ntfs. Zie: Een FAT16- of FAT32-volume converteren naar het NTFS-bestandssysteem in Windows XP. Vergeet daarna niet om de door u gewenste gebruikersrechten in te stellen. Want dat is iets dat convert niet voor u doet. Alleen op een niet met een vaste schijf uitgeruste hardware router krijgen virussen en wormen nog weinig vat het besturingssysteem. Ze kunnen zich hoogstens in het geheugen verstoppen en zich vandaar uit verder verspreiden, voordat ze na de eerste de beste reboot weer worden weggevaagd. |
Multi-user besturingssystemen |
Om de schade door onnozele of kwaadaardige gebruikers, virussen en wormen te beperken zijn streng beveiligde besturingssystemen voor meerdere gebruikers (multi-user) met beperkte gebruikersrechten voor internet klanten en diensten nodig. Zoals bij Unix, waarmee het internet ooit begon. Ook FreeBSD, de Unix kloon Linux en Windows NT en opvolgers kunnen dit. Deze besturingssystemen zijn door ervaren rotten nog redelijk te beveiligen. Maar het hebben van een in opzet veilig Windows XP besturingssysteem betekent nog niet dat u hem veilig gebruikt. Het als administrator internetten is voor XP gebruikers de gewoonste zaak van de wereld. Veel Windows XP gebruikers weten niet eens of ze op het altijd onveilige FAT(32) of het veel beter te beveiligen NTFS werken. U kunt dit gemakkelijk nagaan in: Deze computer/ Rechts-klikken op Lokaal Station / Eigenschappen / Tab Algemeen / Bestandssysteem. |
Roekeloos internetgedrag |
Webservers en netwerkdiensten draaien met beperkte rechten om de kans op overname van de internetserver te voorkomen. Maar aan de andere kant van dit uit klanten en diensten bestaande distributed applications systeem zien we roekeloos gedrag. De meeste computergebruikers weten niet dat hun internet IP adres zowel op UMTS mobieltjes als LAN servers zichtbaar kunnen zijn. Het internet verbindt immers al de op haar aangesloten computers en netwerken: van groot (IBM Mainframe, msn.com) tot klein (uw router). De meeste Windows gebruikers zien hun PC nog steeds als een persoonlijke computer die door het internet meer mogelijkheden kreeg. Ze zien hun computer nog niet als een aan strenge netwerkregels gebonden werkstation. Ook al draaien ze hun applicaties op het riskantste netwerk ter wereld. Ze nemen niet eens de moeite om onder een account met beperkte rechten in te loggen en klikken er lustig op los... Geen wonder dat de gemiddelde PC vol spyware zit. |
Waarom moest iedereen eigenlijk zo nodig het internet op? |
U kunt zich afvragen hoe dit komt. Waarom niemand u waarschuwt voor de gevaren van het internet. Waarom Windows gebruikers met Microsofs Internet Explorer (MSIE) werden opgescheept, die met zijn vele lekken zo nodig deel van het Windows besturingssysteem moest uitmaken. Die vraag is snel beantwoord. Microsoft verdient veel geld aan het internet. Evenals Netscape destijds. De markt van de internet portalen als MSN is bijzonder lucratief. En door Internet Explorer en later Windows Media Player met Windows te integreren kreeg Microsoft veel macht over het internet. Wilt u hier meer over lezen: Zie: Internet economie. |
De Windows consumenten: Klik, lanceer en installeer. |
Microsofts Windows XP Home editie was voor de consumentenmarkt bedoeld. En dat waren voormalige Windows 95, 98 en ME gebruikers die altijd gewend waren om met een muisklik hun eigen programma's te installeren. Ook de grootste onbenul kan onder Windows systeembeheerder zijn. Maar zoals gezegd is dat uitermate riskant op het internet. Softwarefabrikanten hielpen hen een handje met fool proof installatieprogramma's en confguratie Wizards. Je plaatst een CD in de cdrom, die lanceert zichzelf met een autorun en vervolgens kom je in een setup wizard. Je klikt een paar keer op volgende en klaar is Kees. Op die manier kunnen zelfs dial-up internetverbindingen worden opgezet. En als u pech hebt met een duur 06 nummer (dialer). Op een Windows NT, 2000 of XP gebruikersaccount met beperkte rechten zou dit niet gaan. Daar zouden Helpdesks overspoelt worden met klachten als: "Ik wil programma's en drivers installeren, maar ik krijg steeds Toegang geweigerd". Dit Windows consumentengedrag (klik, lanceer en installeer) was moeilijk terug te draaien. Niemand levert graag vrijheid in. En al helemaal niet als ze er deskundigen voor moeten inhuren. |
De overgang van Windows naar XP |
Om de overgang van het "alles is mogelijk" Windows tijdperk naar het meer professionele "alleen kunnen doen wat je moet doen" NT tijdperk gladjes te laten verlopen besloot Microsoft in Windows XP Home iedere gebruiker beheerdersrechten te geven. Het bespaarde Microsofts boze klanten, maar het leverde diezelfde Windows consumenten een miljardenschade op door de onophoudelijke verspreiding van virussen en spam. Dit noopte Microsoft tot het uitbrengen van het qua beveiliging halfslachtige Service Pack 2. Halfslachtig, omdat Microsoft het opnieuw niet aandurfde om gewone gebruikers hun prettige beheerdersaccount te ontnemen. In plaats daarvan kregen ze een firewall en een internetbrowser die een waarschuwing geeft als u iets van het internet installeert. Maar daar zullen de gebruikers van Kazaa en andere Peer-to-Peer diensten zich weinig van aantrekken. |
Het beheerdersaccount: Bommen en granaten |
Onder Suse Linux 10 wordt u op uw desktop geconfronteerd met bommen en granaten als u het waagt om als beheerder in te loggen. Zie de afbeelding hiernaast. Het is immers een kunstfout om als beheerder het internet op te gaan. Vandaar dat de update service via een aparte sessie vanaf de desktop van door gewone gebruikers kan worden ingesteld. Maar een Windows gebruiker ziet geen verschil tussen een gewone gebruiker met beperkte rechten en een beheerder. Hij ziet dezelfde groene grazige Ierse weiden en blauwe wolkenluchten of hij nu als gebruiker of als beheerder inlogt. Net zoals hij vroeger op een rustgevend blauw scherm getrakteerd werd als Windows weer eens fataal de mist in ging. Ook al bezwijkt uw systeem onder de spyware, trojans en virussen, uw Windows blijft er rustig onder. U ziet dezelfde vertrouwde Verkenner schermen. De Microsofts Windows Marketing is vooral een kwestie van bitmap kleurenpsychologie. Wat u onder de motorkap niet ziet, dat zal u niet deren. En als deze schone schijn niet loopt, dan moet u het opnieuw installeren. Windows XP heeft zelfs een verborgen Administrator account ingebakken waarmee iedereen zonder wachtwoord lokaal kan inloggen. Dat is handig voor iedere slimme Henkie die uw PC nakijkt, maar het heeft met beveiliging niets te doen. Over dit standaard beheerdersaccount van iedereen heb ik al geschreven: zet het a.u.b. zo snel mogelijk uit om virusinfecties, Trojaanse paarden en rommel van uw kinderen te voorkomen. Zie: Gebruikers instellen. |
Wat zegt Microsoft hierover? |
In Microsoft voor Thuisgebruikers - Windows XP beveiligen komt het slechts zijdelings ter sprake: Na veel gemopper over die trage computer is de kogel door de kerk en komt er een nieuwe PC in huis. Iedereen is er blij mee: pa maakt zijn presentaties in de helft van de tijd, ma is overgeschakeld op Internet-bankieren, kid 1 raakt verslaafd aan zijn GTA3 game en kid 2 download de ene MP3 na de andere. Een maand later is de situatie ineens heel anders: pa klaagt over het overvolle Bureaublad en al die vervuiling op de vaste schijf. De kinderen begrijpen dat niet, want die kicken juist op zo'n overvolle computer. Moeder klaagt erover dat de nieuwe PC zelfs nog trager is geworden dan de oude PC en de bom barst helemaal als een gedownload virus toeslaat. De krachtige Windows XP computer is door een virus gehackt en wordt trager dan zijn Windows 9x voorganger. Maar de gebruikers weten dit niet. Ze klagen over traagheid en rommel op hun desktop. Typische Windows gebruikers zien nooit onder de motorkap. Microsoft concludeert terecht: Beveiligingsbeleid is niet alleen voor bedrijven, ook thuis hebt u hiermee te maken. Een goed beleid zorgt dat u minder vaak problemen heeft met de computer en dat alle gebruikers hun gang kunnen gaan, zonder dat er irritaties ontstaan over de indeling van het Bureaublad of de installatie van ongewilde software. Goede wachtwoordbewaking en het persoonlijk maken van de map Mijn documenten, zoals in dit artikel geschetst, zijn de kernpunten van goed computerbeheer. Maar wat in dit artikel te weinig benadrukt wordt is dat beperkte gebruikersrechten ook nodig zijn om verspreiding van ongewilde programma's als virussen en wormen te voorkomen. En tegen het binnendringen van hackers en crackers. En dat er dus ook op het thuisnetwerk stevige regels moeten bestaan. |
Marketing: Windows Home versus Windows 2000 en XP Professional |
Toen Microsoft Windows XP op de markt bracht besloot ze twee versies uit te brengen: Windows XP Home voor de consumentenmarkt en Windows XP Professional voor het bedrijfsleven en technisch onderlegde Power Users. De opvolger Windows SVISTA zal in nog meer versies uitkomen. Maar dit terzijde. Windows XP Home was al een grote vooruitgang ten opzichte van Windows 98 en ME, vanwege de onderliggende NT technologie. Als Windows XP Home ("Lite") op het netwerk evenveel zou kunnen als Windows 98 en ME , dan zou een update naar Windows XP Home al een belangrijke verbetering zijn. Maar Microsoft zette het bedrijfsleven voor het blok door in Windows XP Home de ondersteuning voor authentificatie op domeincontrollers weg te laten. Alle voorgaande Windows versies boden die voor het bedrijfsleven essentiele mogelijkheid wel. Maar door de domein authentificatie weg te laten kon Microsoft de veel duurdere Windows XP Professional versie met zijn Windows 2000 Active Directory techniek aan het bedrijfsleven opdringen. |
Werkgroepen en domeinen |
De termen domein en werkgroep slaan op de vorm waarop het netwerk is ingericht. In het bedrijfsleven is eigenlijk alleen de centraal te beheren domeinstructuur een optie. Want in een werkgroep is iedere computergebruiker zijn eigen baas. Dit betekent dat een systeembeheerder alle computers stuk voor stuk moet configureren. Op een domein logt gebruikers op een centrale domein controller in en kunnen de beveiligingsregels vanaf een primaire domein controller (PDC) aan iedere computer worden opgelegd. |
Domeinen voor thuis- en bedrijfsnetwerken |
In de domeinstructuur worden de gebruikersnamen, wachtwoorden en de daarbij horende netwerkrechten door een centrale domeincontroller beheerd. De al dan niet met anderen gedeelde bestanden komen op de bestandsservers te staan. In een kleine bedrijven en thuisnetwerken (samba, MS SBS) zal de primaire domeincontroller tevens bestands- en printserver zijn. Om de netwerkbronnen van een domein te kunnen gebruiken moet u drie gegevens opgeven: uw naam, uw wachtwoord en de naam van het domein. U krijgt dan de machtigingen zoals vastgelegd zijn op uw primaire domein controller. De Windows server die uw aanmelding op het (domein)netwerk onderschept. Een goed beveiligd Windows NT, 2000 of XP Professional PC werkstation staat u alleen toe om met uw gebruikersnaam en wachtwoord in te loggen. Hiermee wordt ongewenste toegang voorkomen. Maar onder DOS, Windows en OS/2 kunt u ook zonder een wachtwoord uw systeem betreden. In het voorbeeld hiernaast logt Windows 9x gebruiker sjoerd op een samba (Linux) domeincontroller in. De laatste is een door het bedrijfsleven afgedankte desktop die met Linux software zowel als domeincontroller, print- en bestandenserver, mailserver en proxyserver dienst doet. Als ik onder Windows Escape (Cancel) toets kom ik in het lokale werkstation. Maar als ik het juiste wachtwoord geef krijg ik meteen toegang tot mijn bestanden het netwerk. Omdat in Windows XP Home de domein logon ontbreekt kunnen alleen peer to peer verbindingen opgezet worden met de samba server. Op een thuisnetwerk is dat geen probleem, maar voor het bedrijfsleven is Windows XP Home geen optie. Want een bedrijf zal de bronnen en gebruikersaccounts centraal willen beheren. In een werkgroep verliest de netwerkbeheerder snel het overzicht. |
Werkgroepen voor kleine (thuis)netwerken |
In een peer-to-peer netwerk (werkgroep) kan iedere gebruiker met beheerdersrechten (Eigenaar) zijn bronnen met de gebruikers van andere computers delen. Om een bron voor iedereen of alleen voor bepaalde gebruikers of groepen vrij te geven moet u eigenaar zijn van de computer. Maar iedereen (de eigenaar, een gast of een gewoon gebruiker) kan uw netwerkbron benaderen als hij over de vereiste netwerkrechten beschikt. |
Van DOS naar NOS |
De Nederlandse naam voor een peer-to-peer netwerk is evenknienetwerk. Maar die term gaat nog uit van pure single-user besturingssystemen. Systemen waarbij iedere computergebruiker de eigenaar van de hele computer en al zijn netwerkbronnen is. Maar de PC besturingssystemen evolueerden zich geleidelijk van een Disk Operating Systemen (DOS) naar Netwerk Operating Systemen (NOS). DOS en Windows 3.11 t/m ME waren pure single-user evenknienetwerken, maar OS/2 Warp Connect, Warp 4 en zeker Windows NT al niet meer. Onder OS/2 is degene die op het lokale werkstation de netwerkbronnen instelt (de netwerkbeheerder) niet vanzelfsprekend meer degene die de computer normaliter gebruikt. Zie: Toegangsrechten beheren onder OS/2. Met OS/2 verscheen het onderscheid tussen computergebruikers (users) en netwerkbeheerders (administrators) op de PC. En met de OS/2 en MS LAN servers kwamen ook de domeinen. Voor deze OS/2 LAN servers ontwikkelde Gordon Letwin van Microsoft het HPFS386 bestandssysteem van OS/2 LAN Manager Server en later na de splitsing van IBM en Microsoft het NTFS bestandssysteem van Microsofts Windows NT. De OS/2 en Windows NT servers ontwikkelden zich aldus nog meer in de richting van een Unix-achtig Netwerk Operating Systeem (NOS), waarbij ook de lokaal aangemelde gebruikers met de lokale bestandspermissies te maken hadden. Hierdoor ontstonden er twee barrières tegen ongewenste bestandstoegang: de gebruikersrechten op het netwerk en de gebruikersrechten op het lokale bestandssysteem. |
Het NetBIOS of NetBEUI evenknienetwerk |
Maar de Windows LAN gebruikers kenden dit laatste onderscheid niet. Ze hadden net als de gewone OS/2 gebruikers een onveilig single-user bestandssysteem en konden slechts op het NetBIOS of NetBEUI evenknienetwerk hun eisen stellen. Door bijvoorbeeld alleen bepaalde groepen of individuele gebruikers op hun bronnen toe te laten, die zich op de server met naam en wachtwoord moesten kunnen identificeren. En vaak hoefde dat niet eens als Eenvoudig delen - Dezelfde toegang voor alle gebruikers - geactiveerd was. |
Eenvoudig bestanden delen onder Windows XP en Windows 2000 |
Om thuisnetwerken met de NTFS bestandspermissies gemakkelijker te kunnen instellen werd Eenvoudig bestanden delen, Simple File Sharing (SFS) geïntroduceerd. Windows XP maakt hierbij gebruik van de groep Iedereen (Everyone), die het mogelijk maakt dat iedere netwerkgebruiker de gedeelde bronnen in zijn werkgroep kan gebruiken. Ook al is zijn naam niet op de peer server bekend. Alleen door uw gedeelde mappen persoonlijk te maken en door firewalls af te schermen kunt u misbruik via het netwerk voorkomen. Ook lokaal maakt Microsoft van de groep Iedereen gebruik. |
De oude Windows systemen |
Windows 95, OSR2, 98, 98 SE en ME gebruiken het maximaal 2 GB grootte vFAT (Windows 95) en/ of het hiervan afgeleide FAT32 bestandssysteem (tot 32 GB). Deze bestandssystemen kunnen in tegenstelling tot het Windows NT bestandssysteem geen gebruikers-ID's en gebruikersrechten opslaan. En ook bestandsattributen als "alleen lezen", "verborgen" of "systeem" stelden in de praktijk niets voor. Ze leverden hoogstens een waarschuwing op (File is Read Only, override?). |
Geen beveiliging |
De oude Windows versies zijn single-user systemen zonder beveiliging. Iedereen die zich lokaal aanmeldt (eventueel met het "wachtwoord" Escape = annuleren), krijgt onbeperkte toegang tot het systeem. Voert u een gebruikersnaam in dan kunt u gebruik maken van een persoonlijk gebruikersprofiel, maar ook dan heeft u nog de beschikking over de hele PC (alle hardware en de bestanden en software van iedereen). |
Vlakke organisatie |
Vergelijk deze situatie eens met een bank. Bij een bank is het ondenkbaar dat de jongste bediende en de receptioniste dezelfde machtigingen als de directeur bezitten. Alleen met de laatste en/of een bewaker mag u naar de kluis. Maar onder de oude Windows versies kon ook de jongste bediende (uw jongste kind) al dan niet bewust programma's downloaden en installeren, destructieve commando's uitvoeren en vernielen wat er maar te vernielen viel. Want een lokale gebruiker krijgt onbeperkte systeemrechten. |
Kwetsbaar op het internet |
Maar hierdoor bent u bijzonder kwetsbaar. Want degenen die u misleiden of uw programma's via een "exploit" overnemen kunnen nu ook doen wat ze willen. Een virus of hacker hoeft maar een lek in de Internet Explorer of een van zijn plugins te benutten (het zijn er veel: zie de bugtrack van Security Focus) en uw systeem is er geweest. |
De netwerkfuncties van Windows 9x |
Maar op het netwerk gedroegen Windows cliënten zich anders. Begrijpelijk, want de netwerkfuncties waren voor het bedrijfsleven bedoeld. Thuisnetwerken waren vanwege de hoge kosten van computers en software nog niet zo vanzelfsprekend als nu. |
Legitieme gebruikers en hun gebruikersrechten |
Wie onder Windows 95 en opvolgers een gedeelde bron (smb share) opzet kan onder Eigenschappen van de map / Delen zelf bepalen hoe een andere gebruiker de bron kan benaderen. Met Toevoegen kunnen legitieme gebruikers en hun gebruikersrechten worden toegevoegd. U kunt Iedereen toevoegen (een vorm van Eenvoudig delen) , maar ook slechts bepaalde gebruikers. Hierbij kunt u ze Alleen-lezen, Volledige toegang of de Beperkte toegangsrechten op maat geven. Zie de afbeelding hiernaast. Windows maakt hierbij gebruik van een toegangscontrolelijst (Access Control List, ACL), waarmee de gedeelde bronnen in een werkgroep in ieder geval afgeschermd konden worden tegen ongenode gasten. Dat was ook wel nodig, want iedere Windows werkgroep is via het NetBIOS via TCP/IP (TcpBEUI) protocol vanaf het internet te benaderen. Alleen met een firewall of door exclusief gebruik te maken van het NetBEUI protocol kunt u dit gevaar bezweren. Daarnaast kenden de Windows systemen de mogelijkheid van het inloggen in het Novell netwerk, een OS/2 LAN Manager of Windows NT domein controller, waarmee weliswaar nog niet de bestanden op de lokale computer beschermd werden, maar wel de mogelijkheid bestond om vanaf iedere PC op het domein uw wel voor andere afgeschermde bestanden op servers te benaderen. Deze methode kan onder Linux ook prima op een thuisnetwerk worden gerealiseerd (Zie: samba). |
Conclusie |
Hoewel de oude Windows als single user systemen levensgevaarlijk zijn op het internet - een geslaagde hack en u bent er geweest, zijn ze op het LAN nog wel te beveiligen. U kunt in principe opgeven met wie u wat op het netwerk wilt delen en uw bronnen met wachtwoorden beveiligen. |
Windows XP Home gebruikers werden met Eenvoudig delen van systeem van toegangsrechten opgescheept, waarbij iedere computergebruiker lokaal of via zijn netwerk (MSHOME werkgroep) alleen met iedereen bestanden kan delen. Windows 2000 en Windows XP Professional kennen dit Eenvoudig delen in een werkgroep omgeving ook, maar daar kunt u via het Tabblad Beveiliging aan ieder bestand of map nog NTFS bestandspermissies toekennen*.
Maar Windows XP Home kreeg wel het NTFS, maar geen tabblad Beveiliging mee. Bovendien werkt het eenvoudig delen als een dark room waarbij iedereen het via het gastaccount met iedereen kan doen. Dit voorkomt dat de met NTFS onervaren Windows gebruikers de bronnen van hun netwerk niet meer kunnen vinden of de deur achter zich op slot doen, maar het het nadeel is dat u niet meer de bestandspermissies kunt instellen die u nodig acht.
Bij het eenvoudig delen maakt Windows XP gebruik van de groep Iedereen. Maar dat is echt iedereen. Ook een onbekende die op uw draadloos netwerk als gast (Guest) of Administrator inlogt komt automatisch in de groep Iedereen terecht. Evenals de MSHOME gebruikers uit de hele wereld als uw firewall uw netwerk niet voldoende afschermt.
Gelukkig worden niet alle mappen zo gedeeld. De systeemmappen Windows en Program Files zijn wel door lokale gebruikers met beperkte rechten in te zien en uit te voeren, maar de schrijfbevoegdheid op deze mappen wordt alleen door leden van de groep Administrators (beheerders) gedeeld. Dus alleen iemand met een beheerdersaccount kan hier op NTFS een virus of spyware installeren. Maar als die rommel er eenmaal zit, dan kan iedere lokale of netwerkgebruiker het virus of Trojaanse paard wel opstarten, omdat ze voor Iedereen uitvoerbaar zijn.
Het Eenvoudig delen vindt op twee niveaus plaats:
Het eenvoudig delen van bestanden door de gebruikers van de lokale computer.
Het eenvoudig delen van bestanden door netwerkgebruikers in een werkgroep.
Bij het inloggen in een Windows NT of AD domein (Windows 2000 en XP professional) maakt Windows niet meer gebruik van Eenvoudig delen. Hierdoor kunnen de bestandspermissies van de lokale en netwerkbronnen veel scherper worden ingesteld. Dit is een vereiste voor het bedrijfsleven.
NB: Windows 2000 en XP Professional werkgroep gebruikers moeten in de Explorer bij Extra / Mapopties het vinkje bij 'Eenvoudig delen van bestanden gebruiken' weghalen. Of Fajo installeren om het beveiligingstabblad van de mappen ook met Eenvoudig delen nog te kunnen te zien...
Om te beginnen kent Windows XP de map Gedeelde documenten voor de groep Iedereen. Deze map is niet zozeer bedoeld om op het netwerk te delen, maar stelt de gebruikers en gasten van de lokale computer in staat om hun documenten onderling te delen.
Wilt u een map met andere computergebruikers delen, dan kunt u die map naar de Gedeelde documenten in Mijn Computer slepen (verplaatsen). Hij komt dan in \Documents and Settings\All Users\Documenten te staan. Het houdt dan zijn oorspronkelijke gebruikersrechten. Normaliter kan een ander uw gedeelde bestand dan wel lezen, maar niet wijzigen. Maar u kunt er ook een kopieeractie van maken. U houdt dan een backup van de oorspronkelijke versie achter de hand. Een kopie in de map Gedeelde documenten krijgt lees en schrijf toegangsrechten voor Iedereen.
Omdat de map Gedeelde documenten door iedereen (incl. Jan en allemans virussen) beschrijfbaar is, is het onverstandig om hier uitvoerbare bestanden neer te zetten. Deze behoren in de systeemmappen Windows en Program Files te staan. Hun inhoud is voor gebruikers met beperkte rechten ("Iedereen") wel in te zien en uit te voeren, maar niet te wijzigen. Op die manier kunnen gewone gebruikers geen virussen in de systeemmappen installeren. Alleen een onoplettende beheerder kan dit.
Moderne Windows programma's worden geacht gebruikersspecifieke configuratiedata in de map \Documents and Settings\gebruikersnaam\Application Data of de voor hen gereserveerde delen van het register op te slaan. Gebruikersbestanden komen in \Documents and Settings\gebruikersnaam\Mijn documenten te staan.
Standaard worden de gebruikersmappen \Documents and Settings\gebruikersnaam "eenvoudig" gedeeld. Het komt er dan op neer dat Iedereen er gebruik van kan maken. Indien een gebruiker zijn eigen mappen Persoonlijk maakt (Zie: Gebruikers instellen) zijn ze alleen nog maar door hemzelf te lezen en natuurlijk ook door de beheerder en zijn systeemdiensten (virusscanner, backup).
U kunt uw eigen mappen Persoonlijk maken door Van deze map een persoonlijke map maken aan te vinken. In de hiernaast afgebeelde map Gedeelde documenten zal dit niet lukken. Hier is de optie grijs gevinkt, want u kunt alleen uw eigen gebruikersmappen Persoonlijk maken. Zie: U kunt de optie 'Van deze map een persoonlijke map maken' niet selecteren .
Een niet-beheerder die de map vervolgens benaderen wil, krijgt dan de mededeling toegang geweigerd. Dit komt omdat de toegangsrechten van de groep Iedereen uit een persoonlijke map verwijderd zijn.
In \Documents and Settings\All Users\ staan ook nog andere gedeelde items die het bestuderen waard zijn. Het gaat om het gedeelde Bureaublad, Documenten, Favorieten, Menu Start en een gedeeld ntuser.dat.
In de map \Documents and Settings\All Users\ Favorieten kunt u hyperlink lnk-bestanden plaatsen die u met anderen wilt delen.
De map \Documents and Settings\All Users\Menu Start bevat snelkoppelingen naar programma's die in ieders startmenu verschijnen. Snelkoppelingen van Programma mappen die u delen wilt, kunt u dus van \Documents and Settings\Eigenaar\Menu Start naar \All Users\Menu Start verslepen. Controleer met Fayo wel of de snelkoppelingen voor gewone gebruikers te lezen en uitvoerbaar zijn.
Omgekeerd kunt u gevaarlijke programmamappen uit het voor uw kinderen zichtbare \Documents and Settings\All Users\Menu Start\Onveilige programmamap naar de Start menu van uzelf of de beheerder verslepen. Dit betekent nog niet dat die programma's nu niet meer door uw kinderen op te starten zijn (regel dat met FaJo), maar het levert wel een overzichtelijker startmenu op.
Ook de Links die programma's \Documents and Settings\All Users\Bureaublad dumpen, zal op iedere desktop verschijnen. Omdat ze door de beheerder geinstalleerd zijn, kan alleen een beheerder ze verwijderen. Als het om het lnk-bestanden naar onveilige of systeembeheerprogramma's gaat kunt u ze beter wissen of naar \Documents and Settings\Eigenaar\Bureaublad verslepen. Maar een Link naar Thunderbird of Firefox laat ik wel op iedere desktop staan. Gewoon om het gebruik ervan te stimuleren.
Het mechanisme om eenvoudig bestanden te delen op het netwerk heet Simple File Sharing (SFS).
In Windows XP Professional werkstations die verbonden zijn met een domein is dit Eenvoudige delen van bestanden uitgeschakeld. Maar in een werkgroep wordt Eenvoudig delen (tenzij u Eenvoudig bestanden delen in de geavanceerde map opties van de Verkenner uitschakelt) ook door Windows XP Professional gebruikt.
In het plaatje hiernaast worden de lokaal Gedeelde documenten (de map \Documents and Settings\All Users) tevens op het netwerk gedeeld onder de share-naam SharedDocs. Als uw computernaam XP is, dan is de bron te benaderen als \\xp\shareddocs.
Er zijn slechts twee instelmogelijkheden van Eenvoudig delen (SFS) op het netwerk:
Van deze map een gedeelde map maken (alleen lezen van de map en alle onderliggende mappen).
Netwerkgebruikers mogen mijn bestanden wijzigen (iedereen mag de map en alle onderliggende mappen lezen en beschrijven).
U moet beheerder zijn om het netwerk in te stellen. Om inbraak te voorkomen mogen gewone gebruikers hun eigen bestanden en mappen alleen lokaal delen. Voor gewone gebruikers zijn de keuzeopties voor Delen en beveiliging via het netwerk dus grijs gevinkt en onbenaderbaar.
Uw toegangsrechten tot een netwerkbron worden bepaald door uw rechten op de gedeelde bron en uw rechten op het bestandssysteem. De ACL's van het netwerk en die van het NTFS bestandssysteem werken onafhankelijk van elkaar.
Zo heeft het altijd op Windows netwerken gewerkt, maar op een XP Home bestandenserver geldt de domme regel dat een bron alleen maar te delen valt als de groep Iedereen toegang tot de bron heeft. De reden is dat Windows van iedere gebruiker die op een Eenvoudig gedeelde server inlogt, zijn gebruikersnaam en wachtwoord weggooit (!) en er een gastaccount van maakt. Het maakt daarom niet uit hoe u inlogt. Naam en wachtwoord doen er niet toe. Iedereen krijgt toegang tot de eenvoudig gedeelde bron of niemand. En ook als u inlogt als Administrator krijgt u op een eenvoudig gedeelde bron slechts de rechten van het gastaccount.
U moet op XP Home uw netwerkbronnen dus toegankelijk maken voor de groep Iedereen. Anders zijn ze niet toegankelijk. Naar hiermee schakelt schakelt XP Home de NTFS beveiliging praktisch uit. Maar als u met "net share" een niet voor Iedereen toegankelijke map deelt, krijgen netwerkgebruikers de foutmelding Toegang geweigerd. En ze zullen niet kunnen inloggen als u het gastaccount een wachtwoord geeft.
Om die reden kunt u een Persoonlijke map niet via het Windows netwerk delen. Want in Persoonlijke map is de groep Iedereen gedeactiveerd. Maar als u Mijn documenten als een voor Iedereen toegankelijke map op het netwerk deelt, dan kan ook echt iedere netwerkgebruiker die inzien (SFS optie 1) of bewerken (SFS optie 2). Dus ook op een niet versleuteld WLAN en met een slecht geconfigureerde firewall ook iedere gast van het internet. Het invoeren van een IP adres - in de afbeelding hiernaast van Windows gebruiker die me voortdurend met emailvirussen bestookte - is al genoeg.
Op een niet NTFS bestandssysteem (gedeelde Windows netwerkbron, iso CD, UDF, FAT, HPFS of FAT32) kunt u alleen op het netwerk gebruikersrechten instellen. Want op een niet-NTFS bron kan Windows zijn lokale bestandspermissies niet kwijt. Windows geeft dus een niet NTFS bestandssysteem altijd de toegangsrechten van de groep Iedereen.
Onder de oude Windows versies en Windows NT, 2000 en XP Professional kunt u gebruikersrechten op het netwerk beperken. Iedere gedeelde map heeft een tabblad Delen, waar u mag bepalen wie wat op de bron mag doen. Maar met het Eenvoudig delen van de netwerkbronnen gaat Windows XP Home in zijn wereldwijde MSHOME werkgroepen nogal grof te werk.
Eenvoudig delen geeft u immers slechts de mogelijkheid om Iedereen (inclusief anonieme gasten) alleen lees en uitvoer rechten of volledige toegang te geven. Met andere opties kunt u een Eenvoudig gedeelde bron niet delen. Tenzij u het gastaccount een wachtwoord geeft. Dan kunnen alleen degenen die als gast met het juiste gastwachtwoord inloggen.
Wat dat betreft was u met de eerdere Windows beter versies uit, want die kunnen ook netwerkbronnen op groeps- en gebruikersniveau delen. Maar Microsoft gaf die optie alleen aan Windows XP Professional thuisgebruikers mee. Als deze op een werkgroep (LAN) in plaats op een domein aangesloten zijn moeten ze dit bovendien expliciet instellen (Explorer / Extra /Mapopties / "Eenvoudig delen van bestanden gebruiken" uitschakelen. Pas dan krijgen ze een beveiligingstab met de mogelijkheid om NTFS en netwerkrechten in te stellen.
En dit is een lastig beveiligingsprobleem, want op bijvoorbeeld multibootsystemen is het niet aantrekkelijk om de door de besturingssystemen gedeelde data op een NTFS schijf te zetten. Het geheim gehouden (closed source) NTFS5 is immers alleen door de moderne Windows (2000, XP, Vista) besturingssystemen te goed te beschrijven.
Het treurige hieraan is dat de netwerkbronnen van het 16 bits Windows 3.11 (1992) nog beter te beschermen zijn dan die van Windows XP Home met zijn opzettelijk beperkte netwerktechnologie. Het zou daarom fijn zijn om op XP Home een Samba voor Windows pakket te kunnen installeren... Of een snelle FTP server om bestanden lokaal te kunnen delen.
Andere besturingssystemen (OS/2, Linux met samba, maar ook veel oude Windows versies) kennen het Windows XP Home fenomeen dat netwerkgebruikers automatisch lid worden van de groep Iedereen niet. Ze kennen weliswaar de ingebouwde groep users, maar daar hoeft een onbekende Windows XP "gast" geen deel van uit te maken. Daarvoor gebruiken ze de groep guests of gasten (die u natuurlijk in netwerkrechten beperkt).
Als XP Home gebruiker kunt u de netwerkbronnen van andere computers in uw werkgroep normaal gebruiken. De enige voorwaarde is dat u een geldige gebruikersnaam en wachtwoord voor de te benaderen peer server hebt. Maar wat u met XP Home niet kunt doen is inloggen op een domeinserver. De XP Professional mappen \Documents and settings\gebruikersnaam.DOMEINNAAM worden dus nooit aangemaakt. Het gaat steeds om lokale aanmeldingen en peer-to-peer verbindingen vanuit \Documents and settings\gebruikersnaam. Overigens ondersteunen Linux samba servers die ook.
Eenvoudig delen is simpel, maar de keuzemogelijkheden zijn beperkt. Een bedrijf of een serieuze netwerkgebruiker kan hier geen genoegen mee nemen en moet dus kiezen voor XP Professional. Het bedrijf vanwege het ontbreken van de domein logon en de serieuze thuisgebruiker vanwege het het ontbreken van effectieve machtigingen op het netwerk. De lokale NTFS machtigingen zijn door Windows XP Home verstopt, maar zijn gelukkig nog wel aan te passen. Zie: Gebruikersrechten op Windows XP Home aanpassen.
Stel u zit met XP Home opgescheept en wilt een gedeelde map maken voor uw familiekiekjes. Wat kunt u doen?
De familiekiekjes moeten zowel lokaal als op het netwerk te zien zijn. Waarschijnlijk kiest u lokaal en op het netwerk voor Alleen lezen: de kinderen mogen de foto's wel inzien, maar niet wissen of bewerken. Alleen de eigenaar van de map mag ze bewerken.
Op Windows XP Professional zet u de bestanden in een persoonlijke map. Maar zorg ervoor dat de groep Gebruikers (of beter Geauthentificeerde gebruikers) alleen leesrechten op de fotomap hebben. Dan hebben ze zowel lokaal als op het netwerk dezelfde rechten. Als u tenminste het vinkje bij Extra / Mapopties / Weergave / Eenvoudig delen van bestanden gebruiken (aanbevolen) van de Verkenner weghaalt. Want standaard deelt ook XP Professional de mappen op het thuisnetwerk op de alles of niets manier.
Maar wat kunt u doen op XP Home? U bevindt zich in een duivels dilemma. Want als u wat op het netwerk wilt delen, kunt u dat alleen met Eenvoudig delen via de groep Iedereen. En wie is lid van de groep Iedereen? Iedereen die via het netwerk als gast kan inloggen (en zonder wachtwoord voor gebruiker gast is dat Iedereen) en iedereen die lokaal kan inloggen. Want alle gasten en gebruikers behoren ook tot de groep Iedereen. Lokaal kunt u een aan Iedereen vrijgeven map niet beschermen. Want Iedereen is echt Iedereen. Maar om de map te delen moet u hem wel vrijgeven aan iedereen. Het enigen zinvolle wat u kunt doen is het gastaccount een wachtwoord geven. Zodat u de op het nu wat minder Eenvoudig gedeelde netwerk, alleen de aan Iedereen (=het gastaccount) vrijgeven bronnen aan degenen die over het juiste gastwachtwoord beschikken, delen kunt. En de niet met het gastwachtwoord bekende rest zal gewoon niet kunnen inloggen op de op het Windows netwerk gedeelde PC.
En wat doet u met Eenvoudig delen met uw zakelijke correspondentie? Uw vrouw mag ze lezen, maar de kinderen niet. Wie weet zetten ze uw brieven via een slecht ingesteld Person-to-person file sharing programma op het internet te kijk. Maar de mogelijkheid om uw bestanden alleen met specifieke gebruikers te delen geeft Windows XP Home u niet. Ook Eenvoudig iets lokaal delen is alles of niets. Gelukkig kunt u dat met Fayo oplossen. Zie: FaJo XP File Security Extension in de praktijk. Want lokaal (op dezelfde computer) werken de NTFS bestandspermissies vrijwel gelijk onder Windows XP Home en Windows XP Professional. De NTFS gebruikersrechten zijn er altijd, maar u ziet het niet omdat de NTFS Beveiligingstab onder Windows XP Home ontbreekt. Maar de FaJo XP File Security Extension brengt hem kostenloos voor u aan.
Echt beroerd is dat Windows XP Home ook op het netwerk alleen maar Eenvoudig delen toestaat. In een overzichtelijke lokale werkgroep zou dat nog te pruimen zijn, maar als u draadloos internet behoren uw buren en de eigenaars van de laptops op straat ook tot de groep Iedereen. En als een virus uw firewall uitschakelt wordt uw werkgroep wel heel erg groot...
De beheerder kan op het tabblad Delen machtigingen instellen. Kiest u voor "Netwerkgebruikers mogen mijn bestanden wijzigen" dan krijgt ieder lid van de groep Iedereen het Volledige beheer over de share (zie rechtsklikken op de Share Eigenschappen, Tab Delen, knop Machtigingen).
Uit veiligheidsoverwegingen is de optie Eenvoudig delen niet beschikbaar voor de systeemmappen Documents and Settings, Program Files en WINDOWS. Maar deze security by obscurity vorm van beveiliging geldt niet als u (of een hacker) als beheerder de opdracht net share c=c:\ gebruikt. Of het niet veel veiligere: net share $c=c:\.
Op een fatsoenlijk ingestelde NTFS partitie valt de schade dan nog wel mee (Access denied op de systeemmappen), maar als de gedeelde C met FAT32 geformatteerd is zet u uw systeemmappen op het netwerk te kijk. En omdat Windows XP iedereen ie inlogt in een gast (leden van de groep Iedereen) veranderd zullen ze op het gastvrije FAT32 alles, maar dan ook alles (incl. wachtwoordbestanden) kunnen zien.
U kunt het Eenvoudig delen via het netwerk wat beter beveiligen door aan het gastaccount een wachtwoord te geven. U zult dan zien dat als u met een correcte gebruikersnaam:wachtwoord inlogt, Windows XP Home u de toegang via het netwerk zal weigeren. Maar als u als gast: gastwachtwoord inlogt komt u er wel in.
Wilt u lokaal veiliger zijn dan beperkt u de rechten van Iedereen en geeft u alleen rechten aan degenen die u kent. Bijvoorbeeld lezen en schrijven voor uzelf en alleen lezen door een medegebruiker. Maar als u de groep Iedereen de toegang verbiedt geeft Windows u een waarschuwing dat alleen de eigenaar de bron kan benaderen En als die niet ingesteld is hebt u een probleem (zei hiernaast). Toestaan uitvinken is vaak handiger.
Maar eerst: hoe komt u onder Windows XP Home aan een tabblad beveiliging?
Windows XP Home kreeg geen tabblad beveiliging voor het zetten van bestandspermissies op mappen en bestanden. Maar dat wil niet zeggen dat u geen gebruik kunt maken van de bestandspermissies van NTFS.
Er zijn meerdere methoden om Windows XP Home specifieker met gebruikersrechten te laten omgaan. In alle gevallen gaat het erom dat Windows XP Home zich wat professioneler gedraagt. In die zin dat een beheerder of eigenaar van een map de gebruikersrechten kan instellen. Maar standaard laat de XP Home versie dit niet toe.
De eerste manier is om via de F8 methode Windows XP Home in Veilige modus met netwerkmogelijkheden op te laten starten. Als u als Administrator inlogt krijgt u mogelijkheden om rechten te beheren. Iedere map heeft nu wel een tabblad Beveiliging. Het plaatje hiernaast laat dat zien. In dit geval is de map door Iedereen te lezen en hebben de lokale gebruikers sjoerd en bouke instellingen op maat.
Maar het is natuurlijk veel handiger om vanaf een door u in te stellen beheerdersaccount, ten allen tijde, voor zover u er recht op hebt, op Windows XP Home op iedere map de gebruikersrechten in te kunnen stellen.
Voor Windows XP Home bestaat er een handig hulpmiddel om gebruikersrechten op maat op NTFS in te stellen: de FaJo XP File Security Extension (http://www.fajo.de). Met dit hulpmiddel kan de beheerder of eigenaar van de map - net als onder Linux - zelf de toegangsrechten tot zijn mappen en bestanden bepalen. Er wordt zelfs een Nederlandse vertaling bij geleverd. Een aanrader voor degenen die Windows XP Home serieus willen beveiligen.
Een minder fraaie oplossing (hack) is het toepassen van de Windows NT 4.0 Security Configuration Manager op een Windows XP systeem. Maar de Verkenner heeft hier moeite mee. Ik zag vaak vastlopers. Probeer daarom eerst Fajo uit. Die doet wat het belooft. Mocht u het verouderde en voor Windows NT 4.0 ontworpen SCM toch op Windows XP willen installeren (re-klikken op setup.inf) , zorg er dan voor dat u in ieder geval geen Windows XP bestanden overschrijft. Voor zover ik weet werken de Security Configuration Manager Tools van Windows XP Professional niet op XP Home.
Met ACLView en Accountview van Native Computer Systems kunt NTFS ACL's en gebruikers instellen. Accountview kwam in Gebruikers instellen al aan bod. ACLView van Native Computer Systems verderop besproken.
UNGSoft.File Security Manager : shareware programma om NTFS ACL's in te stellen.
Programma's als Nero moeten toegang tot veel hardware hebben. Maar een simpele Google zoekactie naar "nero user rights" brengt u naar het programma Nero BurnRights. Dit programma maakt een speciale groep voor Nero gebruikers aan. .
Met de FaJo XP File Security Extensie beschikt een Windows XP Home gebruiker over een soortgelijke Beveiligingstab als Windows XP Professional. U vindt hem door rechts te klikken op een map of bestand en voor Eigenschappen te kiezen. Daarna gaat u naar het tabblad Beveiliging (XPFSE).
Voordat u hier als beheerder mee gaat experimenteren moet u zich realiseren dat u hiermee de volledige controle over alle onder Windows vallende bestanden hebt.
Want als beheerder kunt u de mogelijkheden van gewone gebruikers maken (uzelf) of breken (anderen, maar ook van uzelf). NTFS is echt streng. Als u vindt dat niemand een map mag benaderen, is dat ook niemand behalve de systeembeheerder(s). Maar als de Administrator groep van de in Mijn computer verschijnende map nog niet aan NTFS map is toegevoegd, komt die er dus ook niet meer in. Net zoals dat onder Windows XP Professional zou gebeuren. En dan hebt u al beheerder een groot probleem.
In noodgevallen kunt u domme acties via de Veilige Modus van F8 herstellen, maar wie het FaJo Forum bezoekt ziet dat er desondanks nogal wat ongelukken gebeuren. Vooral als de acties op hele NTFS partities worden uitgevoerd en de gebruikers de logica van de NTFS bestandspermissies niet begrijpen.
Houdt dit bij de hand als de FaJo XP File Security Extension (http://www.fajo.de) en/of Windows 2000 of XP Professional gebruikt!
De account Eigenaar wordt weergegeven als 'Onbekende account' in Profielen op computers met Windows XP Home Edition
Procedure: Machtigingen voor bestanden en mappen instellen, bekijken, wijzigen of verwijderen in Windows XP
Speciale machtigingen voor bestanden en mappen instellen, weergeven, wijzigen of verwijderen in Windows XP
Foutbericht 'Toegang geweigerd' wanneer u een map probeert te openen
Procedure: Eigenaar worden van een bestand of map
Foutbericht: 'Toegang geweigerd' wanneer u mappen van het NTFS-bestandssysteem probeert te openen
Hiernaast heb ik als gebruiker sjoerd de eigenschappen van Mijn Documenten (C:\Documents and Settings\sjoerd) geopend. Het is een Persoonlijke map die alleen door de groep SYSTEM (het Windows XP besturingssysteem en uw diensten) en sjoerd volledig te gebruiken en te misbruiken zijn. Gebruikersrechten voor de groep Iedereen treft u in een persoonlijke map niet aan.
In het venster Namen van groepen en gebruikers kunt u zien voor welke groepen en gebruikers machtigingen zijn ingesteld. Met de knoppen Toevoegen en Verwijderen kunt u de machtigen van groepen en gebruikers aanpassen. Hier zou ik de groep Administrators aan willen toevoegen. En de Administrators Volledig beheer rechten (alles aangevinkt) geven.
In de regel moet u bij iedere wijziging die u op een map of bestand doorvoert zich er eerst van vergewissen dat de groep Administrators het Volledig beheer heeft over de map. Als dit niet evident is, voegt u deze groep eerst toe (Toevoegen / Administrators /Volledig beheer).
De beheerder (Eigenaar van de computer) staat dus niet vanzelfsprekend in iedere NTFS map vermeld. In de afbeelding van Fayo's Beveiliging (XPFSE) tabblad hiernaast ziet u slechts de gebruikers sjoerd en SYSTEM staan.
In het onderliggende venster Machtigingen ziet u de machtigingen van de in groepen en gebruikers geselecteerde groep of gebruiker. De eerste kolom geeft van de toegestane (permit) regels aan en de tweede kolom de acties die verboden (weigeren, deny) zijn. Zoals u kunt zien is de lokale gebruiker \XPHOME\sjoerd met Volledig beheer heer en meester over zijn map. Maar dat betekent nog niet dat een ander zijn map niet misbruiken kan (voor ene uitleg zie verderop).
Met de knop Geavanceerd kunt u deze machtigingen nog fijner instellen. Maar nodig is dit meestal niet.
Weigeren regels hebben voorrang op de Toestaan regels. Weigeren regels hebben dus de meest drastische effecten. Klikt u per abuis Volledige beheer Weigeren aan, dan komt u uw Persoonlijke Map niet meer in.
U kunt beter gebruikers toegangsrechten ontnemen (Toestaan uitvinken) dan ronduit verbieden door Weigeren aan te vinken. Iemand iets direct weigeren moet u alleen doen als u dit zeker wilt en ook weet wat de consequenties zijn.
Ik raad u aan om in uw persoonlijke mappen Volledig Beheer Toestaan voor alle gewone gebruikers uit te vinken. De gebruikers kunnen dan nog van alles met hun Persoonlijke mappen doen, maar kunnen hun gebruikersrechten niet meer wijzigen.
Waarom zou u zichzelf uw recht op Volledig beheer willen ontnemen? Omdat u met Volledig beheer uw rechten niet alleen zelf (Tab Beveiliging) maar ook zonder dat u het weet kunt wijzigen. Want wat een door mij opgestart (internet)programma of script echt doet, dat weet alleen zijn programmeur (zullen we maar hopen).
Geef het recht op Volledig beheer liever niet aan gewone gebruikers, omdat ook gebruikersaccounts misbruikt kunnen worden. En wel zonder dat u het weet, omdat u de bedoelingen en mogelijkheden van uw programma's en hun exploits nooit afdoende kent.
Een script zou Mijn (persoonlijk gemaakte) documenten zo te kijk kunnen zetten. Bijvoorbeeld door de rechten weer aan de groep Iedereen te geven. En iedere voorbijganger kan uw rechten wijzigen als de PC niet vergrendeld is.
Om er dus voor te zorgen dat alleen vertrouwde beheerders de Volledige toegangsrechten tot uw persoonlijke mappen beheren, zet u uw (nu nog) persoonlijke mappen op slot en geeft u de sleutel (Volledig beheer) alleen aan beheerders die niet het internet opgaan, nieuwe programma's uittesten of de PC onbewaakt laten aanstaan.
De leden van de groep Administrators (bij mij Eigenaar en root) hebben alle rechten op het systeem. Maar ze zijn nog niet per definitie Eigenaar van een bestand of map. Komen ze niet met het recht op Volledig beheer in het tabblad beveiliging voor, dan moeten ze eerst nog eigenaar worden.
Om de beheerder eigenaar van de map te maken klikt u op Toevoegen van Namen van groepen en gebruikers en geeft u in het venster Geef de objectnamen "Administrators" op. De in Windows XP ingebakken groepsnaam Administrators verschijnt nu in het venster Namen van groepen en gebruikers.
U geeft deze Administrators/Eigenaars het Volledig beheer over de map.
Daarna schakelt u voor de oude mapeigenaar (hier sjoerd) het Volledig beheer uit en schakelt u de overige permissies (lezen, schrijven, maken, wissen) met Wijzigen weer in. Als u ervoor zorgt dat in de map de toegangsrechten voor de overige groepen als Iedereen en Gebruikers verdwijnen zal de map nu alleen nog maar door Beheerders en sjoerd te lezen en te beschrijven zijn (Persoonlijke map). En anders is het Toegang geweigerd (access denied).
Verouderde Windows spelletjes slaan hun data meestal in een submap in Program Files op. Onder FAT en FAT32 was dit geen probleem. Daar mag ieder programma alles namens u doen. Ook de meest rampzalige dingen waartegen geen virusscanner of firewall u beschermen zal. Maar volgens de veilige Nieuwe Technologie NTFS regels behoren de programmamappen en hun subdirectories (de onderliggende mappen) niet voor gewone gebruikers beschrijfbaar te zijn. Want anders ondermijnen ze de stabiliteit van het systeem.
Maar de oudere ook voor Windows 9x (FAT32) geschreven spelletjes weten niet beter dan dat iedere gebruiker alles op ieders mappen mag doen. Ze slaan de persoonlijke databestanden bij voorkeur in de Program Files systeemmappen op.
Enige voorbeelden van mappen waarin persoonlijk data opgeslagen worden zijn:
Met Fajo kunt u eenvoudig dergelijke mappen voor fatsoenlijk ingelogde gebruikers (Authenticated users) beschikbaar maken. In de regel volstaat het om de vetgedrukte map voor gewone gebruikers beschrijfbaar te maken zoals in de afbeelding hiernaast. De ingangen voor de Eigenaar kunt u neutraal (niets aangevinkt) houden. De normale ingangen voor de beheerder zijn Volledig beheer (alles aangevinkt) en die voor System ook. Hoewel alleen Wijzigen t/m Schrijven zonder Volledig beheer aan te vinken voor SYSTEM waarschijnlijk veiliger is. Want SYSTEM staat voor de closed source Windows (en FBI) systeemdiensten, die u nooit echt kunt vertrouwen. Op een map in Program Files kunt u waarschijnlijk wel van hun systeemdiensten afzien.
In het ergste geval - het regent foutmeldingen of het programma start niet op - geeft u aan de hoofdmap van het klagende programma schrijfrechten voor gebruikers. Maar maak hiervoor altijd een uitzondering: dat is het EXE programma zelf. En bij voorkeur ook zijn bibliotheken (DLL bestanden). Uitvoerbare bestanden mogen immers niet beschreven te worden. Daar kunnen alleen virusschrijvers baat bij hebben.
Ook in de registry kunt u met fajo terecht. Het tabblad beveiliging komt voor in de sleutels als HKEY_CURRENT_USER\Software\Programmanaam als u regedit.exe opstart.
Monitor-programma's als Filemon en Regmon kunnen u hierbij helpen.
Ook de zelf opstartende diensten (MSCONFIG / Opstarten, zie Hulpprogramma voor systeemconfiguratie) willen nog wel eens systeemmappen als Program Files en zelfs die van Windows beschrijven. Ze zijn dan typisch niet voor de Nieuwe Windows Technologie (NT) geschreven, maar meer voor het oude single-user Windows systemen. Hun poging om met beperkte rechten een systeemmap te beschrijven geeft dan een access denied foutmelding onder Windows NT/2000/XP, waarin de naam van het programma helaas niet altijd terug te vinden is.
Maar via de optie Ga naar proces in Toepassingen van het Windows Taakbeheer (CAD/ Toepassingen/ Re klikken op het taak / Ga naar proces) kunt u achterhalen welk programma de foutmelding veroorzaakte. Daarna is het een zaak om te achterhalen om welke bestandstoegang het ging. In principe gaat het om recent gewijzigd bestand. U kunt dit achterhalen door de detail weergave van de verkenner te gebruiken. Het log-, data- of configuratiebestand zal gewijzigd/aangemaakt zijn toen u het programma het laatst als beheerder uitvoerde. Aan zo'n recent gewijzigd (log)bestand dat alleen voor de beheerder toegankelijk was, geeft u dan schrijfrechten voor gewone gebruikers (of veiliger alternatief: voor bepaalde gebruikers).
Bovengenoemde oplossingen waarbij programma's met de minimaal benodigde permissies worden uitgevoerd zijn betere oplossingen dan het Met andere referenties uitvoeren van een programma als beheerder. Want met uw beheerdersrechten kan het programma al uw bestanden overschrijven.
Er zijn bepaalde gebruikersprogramma's die u zelf wilt gebruiken, maar waarvan u niet wilt dat (al) uw kinderen ermee spelen. Denk hierbij aan gewelddadige spelletjes, MSN, peer tot peer file-sharing en andere netwerkprogramma's. Misschien wilt u hen alleen een bepaalde internetbrowser geven: eentje die met een proxy filter werkt. De hyperlink daarnaar zet u dan in de voor "Alle gebruikers weergeven" zichtbare Desktop, maar de alternatieven schakelt u voor hen uit. Dat kan via Windows "security by obscurity" door in de Verkenner map Documents and Settings\All Users\Menu Start te bewerken, maar veilig is dit niet. Veel beter is het de toegangsrechten van het programma bij de bron in de map Program Files aan te pakken. Als u uw kinderen bijvoorbeeld alleen via Firefox toegang tot het internet wilt geven, gaat u naar de map:
C:\Program Files\Internet Explorer
Bij het beperken van de rechten op gebruikersprogramma's met Fajo (rechts klikken op de geselecteerde map) zorgt u ervoor voor de dat slechts de Groep Administrators en enige individuele gebruikers, toegang tot de map krijgen. U vinkt dus alle gebruikersrechten voor de generieke groepen (Iedereen, Gebruikers, etc) op de programmamap uit. Daarna voegt u met Toevoegen [gebruikersnaam] de uitverkoren gebruikers toe.
Zij hebben voor het uitvoeren van het programma slechts drie machtigingen nodig:
Schrijftoegang (Wijzigen, Schrijven) tot programma's en mappen met programma's is voor de uitvoer van programma's niet nodig en verhoogt alleen maar het virus- en hackers gevaar. Want niets is zo gemakkelijk voor een hacker om een u bekend programma door zijn eigen malafide versie te vervangen. Daarom mag alleen een beheerder een programma wijzigen (updaten).
Het toekennen van het Volledig beheer aan de niet beheerder eigenaar of (nog erger) gewone gebruikers van mappen is eveneens een doodzonde. U geeft hiermee aan al uw malafide programma's (inclusief uw te laat gepatchte favoriete programma's ) een blanco check. Zie: Volledig Beheer van gebruikers in persoonlijke en gedeelde mappen uitschakelen.
Soms komt u vreemde gebruikersnamen als Onbekende account (S-1-5-32-5-547) tegen, maar raak dan niet in paniek. Windows werkt intern niet met gebruikersnamen, maar met beveiligings-IDs (SIDs). Soms zie je in Fajo zo'n een SID weer spontaan verdwijnen om plaats te maken voor een meer bekende naam.
Ook uw Windows installatie krijgt een uniek ID. Uw SID wordt in feite uit een unieke Computer ID en een getal samengesteld. De Security-ID van de verborgen Administrator begint bijvoorbeeld met S-1-5 en eindigt op 500. Die van de later toegevoegde gebruikers eindigen op 1001, 1002, etc. Dat laatste getal is uw relatieve ID.
Windows gedraagt zich hierin anders dan Unix en Linux. Zij koppelen de gebruikers-ID niet aan een computer-ID, maar gebruiken alleen wat Microsoft de relatieve ID noemt.
zolder:/home/sjoerd # id sjoerd uid=1000(sjoerd) gid=100(users) groepen=100(users),16(dialout),17(audio),20(cdrom),33(video)
Hierdoor zijn Linux installaties gemakkelijk naar een andere computer over te zetten (clonen). Vroeger moest ik hierbij de User-ID's van de gebruikers aanpassen, maar bij recente SuSE's was dat niet nodig. Voor Windows hebt u aparte software nodig voor het clonen van partities.
U vindt de SIDs van de gebruikers terug onder de register sleutel HKEY_USERS.
In het plaatje hiernaast ziet u dat ook Windows register ingangen machtigingen hebben. Althans onder Windows NT en opvolgers. Dit voorkomt dat u via uw programma's belangrijke systeeminstellingen kunt veranderen.
Het deel van het registry in HKEY_USERS dat bij uw SID hoort kunt u als gebruiker met beperkte rechten beschrijven, maar het grootste deel van de registry dus niet. Sommige delen van het Registry behoren niet eens door gewone gebruikers (laat staan Iedereen) te lezen zijn. Bijvoorbeeld omdat er privacy gevoelige informatie in staat.
De voor Windows NT en opvolgers geschreven programma's houden hier rekening mee. In uw privé-deel ziet u bijvoorbeeld de paden van uw netwerk shares (HKEY_USERS/SID/network) en veel instellingen van programma's (HKEY_USERS\SID\Software\Microsoft\Internet Explorer\Main).
Als het goed is moeten de machtigingen zo ingesteld zijn dat alleen de gebruiker (SID) en de beheerder ze kunnen lezen!
Het beleid van Microsoft inzake het kopiëren van Windows XP-installaties
Sysinternals Freeware - NewSID: programma om SIDS en computer ID's te veranderen na het klonen van Windows installaties.
ACLView is grafisch hulpmiddel om NTFS ACL's te onderzoeken en aan te passen. Het was van Native Computer Systems te downloaden. Maar die links zijn dood. Op http://web.archive.org kunt u de NCS Z-tools nog wel downloaden.
ACLView heeft een Verkennerachtige interface waarin aan de linkerzijde alle mappen en bestanden van uw systeem worden getoond. Dus ook de verborgen mappen die u in de Verkenner niet ziet.
Aan de rechterzijde kunt drie tabbladen in beeld brengen:
Het tabblad DACL bevat de Discretionary Access Control List van de NTFS objecten: Dit is de toegangsbeheerlijst (ACL) waarin staat wat de gebruikersrechten (rechts) zijn van de "discrete" (met name genoemde) gebruikers en groepen op het links geselecteerde object (map, bestand).
De toegangscontrolevermeldingen (ACE) kunnen zijn van twee types: ACCES_ALLOWED_ACE_TYPE (toestaan) en ACCES_DENIED_ACE_TYPE (weigeren). Verbodsregels hebben voorrang boven toegang toestaansregels en wat niet expliciet is toegestaan is ook verboden.
U kunt per gebruiker of groep permissies aan- en uitvinken. Let er wel op dat u met ACCES_ALLOWED_ACE_TYPE's werkt! Gebruik de voor het systeem riskante ACCES_DENIED_ACE_TYPE ACL's alleen als u 100% zeker weet wat u doet. En daarna kunt u ze met een Apply toekennen.
En verder kunt u gebruikers toevoegen met Add en verwijderen met Remove. Pas hier overigens ook mee op. Het vervangen van de groepen Iedereen en gebruikers door geauthentificeerde gebruikers kan overigens nooit kwaad. En geef deze gebruikers alleen tot de uitvoer beperkte rechten (GENERIC-EXECUTE) op de systeemmappen (Windows, WinNT, Program Files) . Een gebruiker behoeft de hoor hem gebruikte applicaties niet te kunnen beschrijven (veranderen). Hij behoort ze slechts uit te voeren zoals de systeembeheerder voor ogen had.
In het tabblad SACL regelt u de System Access Control Lijsten (SACL) van de NTFS objecten. Het gaat om de audit functies van Windows XP. Dus de mogelijkheid om bij te houden wie, wanneer, wat (lezen, uitvoeren, wijzigen etc) met een NTFS object doet. En dat is buitengewoon interessant.
Stel u hebt de afspraak gemaakt met uw kinderen dat ze overdag niet MSN-en. U selecteert in het linkerdeel de map of het bestand (object) dat u in de gaten wilt houden, bijvoorbeeld "C:\Program Files\Messenger\msmsgs.exe" en gaat naar tab SACL. Normaal staan hier geen gebruikers vermeld. U kiest dus Add en komt in het venster Browse Users, groups. Selecteer de groep Gebruikers (of een specifieke gebruiker), klik op de Rode pijl en voeg de gebruiker aan de auditlijst toe. Standaard wordt voor de gebruiker of groep een SUCCESFULL_ACCESS_ACE_FLAG toegevoegd voor alle toegestane acties (GENERIC_ALL). Maar hier zou een GENERIC_EXECUTE voldoen. U kunt er eventueel een FAILED_ACCESS_ACE_FLAG aan toevoegen om de in de tab DACL verboden acties op te sporen. Daarna klikt u op Apply.
Nu is MSN een wat lastig voorbeeld, want die onveilige dienst wordt automatisch door Windows XP opgestart. Wilt u dit Windows gedrag uitzetten kijk dan op Diensten activeren en deactiveren of klikt u meteen op Shoot The Messenger. Daarnaast ondersteunt Windows XP Home de audit functies maar gedeeltelijk . Terwijl u er juist vanwege het onder XP verplichte, maar onveilige gast account juist veel behoefte aan hebt. Maar helaas pindakaas. Zelfs met slim Russisch hackwerk werkt deze nuttige optie niet.
De tab Owner: Hiermee kunt u de eigenaar(s) van een map of bestand veranderen.
U moet installatieprogramma's en Windows Update als beheerder uitvoeren, maar dat betekent niet dat u dit vanaf de desktop van beheerder moet doen. Ook als u als gewoon gebruiker ingelogd bent kunt een programma als Setup.exe of Windows Update als beheerder uitvoeren. En omgekeerd kunt u terwijl u als beheerder ingelogd bent als een gewoon gebruiker het internet opgaan. Dat maakt u een minder kwetsbaar voor aanvallen.
Hierbij maakt u gebruik van de programma opstartoptie met de naam Met andere referenties uitvoeren.
Klik met de rechter muisknop op Start.
Selecteer Alle gebruikers weergeven.
Klik met de rechter muisknop op de snelkoppeling naar Windows Update.
Waarschijnlijk ziet u dat in het Objectmenu de optie "Uitvoeren als" al bestaat. Als u erop klikt kunt u een programma als iemand anders uitvoeren.
Is dat niet het geval voor programma die u zo nu en dan als beheerder wilt uitvoeren (bijv. een programma voor bestandsbeheerder, een shell), dan kunt u de programma opstartoptie Uitvoeren als als volgt activeren:
Rechtsklik op het programma of een snelkoppeling ervan.
Kiest Eigenschappen (onderaan)
Kiest het Tabblad Snelkoppeling
Kiest Geavanceerd (onderaan)
En vinkt Met andere referenties uitvoeren aan.
Voert u een programma uit met beheerdersrechten, dan zullen de programma's die dat programma opstart ook beheerdersrechten krijgen (erven). Dus als u op setup.exe klikt met een als beheerder opgestarte bestandsbeheerprogramma, dan zal het programma gewoon installeren.
In de afbeelding hierboven kan de Windows Update Manager (wupdmgr.exe) vanaf de desktop van een gewone gebruiker met andere referenties uitgevoerd worden. Start ik Windows Update met rechtsklikken op pictogram/ Uitvoeren als (beheerder) dan zal ook de door deze sessie opgestarte Internet Explorer met beheerdersrechten opstarten.
Helaas lukt deze truc bij de Windows Verkenner niet. De reden is dat de Verkenner al als Windows shell draait. U kunt dan een ander programma voor bestandsbeheer gebruiken. Of Internet Explorer met als URL C:\. Maar het gemakkelijkst is in de Verkenner van de beheerder onder Extra/Mapopties/Weergave de optie "Mapvensters in een afzonderlijk proces openen" aan te zetten. Daarna kan de Verkenner ook via "Uitvoeren als" op de desktop van een gewone gebruiker met beheerdersrechten worden opgestart.
Vanaf de prompt kunt u met de opdracht "runas " willekeurige programma's met andere referenties uitvoeren.
C:\Documents and Settings\sjoerd>runas /user:SP2\root notepad Geef het wachtwoord voor SP2\root op: Poging om notepad als gebruiker SP2\root te starten...
Nog handiger is een rootshell (cmd, explorer).
runas /user:computernaam\gebruikersnaam cmd
De runas sysntaxis is op te vragen door runas te typen:
RUNAS-syntaxis:
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ] /user:<gebruikersnaam> program
RUNAS [ [/noprofile | /profile] [/env] [/netonly] ] /smartcard [/user:<gebruikersnaam>] program
/noprofile: Verhindert dat het gebruikersprofiel geladen wordt. Hierdoor wordt de toepassing sneller geladen, maar kan storingen in bepaalde toepassingen veroorzaken.
/profile: Geeft aan dat het gebruikersprofiel dient te worden geladen. Dit is de standaardinstelling.
/env: Huidige omgeving gebruiken i.p.v. gebruikersomgeving.
/netonly: Te gebruiken als de opgegeven referenties voor externe toegang zijn. alleen toegang.
/savecred: Referenties die eerder zijn opgeslagen gebruiken. Deze optie is niet beschikbaar in Windows XP Home Edition en wordt genegeerd.
/smartcard: Te gebruiken wanneer de referenties van een smartcard moeten worden verkregen.
/user: <gebruikersnaam> moet de indeling GEBRUIKER@DOMEIN of DOMEIN\GEBRUIKER hebben
program: Opdrachtregel voor EXE. Zie hieronder voor voorbeelden
Voorbeelden:
> runas /noprofile /user:mijncomputer\beheerder cmd
> runas /profile /env /user:mijndomein\beheerder "mmc %windir%\system32\dsa.msc"
> runas /env /user:gebruiker@domain.microsoft.com "notepad \"my file.txt\""
Opmerking: geef het wachtwoord van de gebruiker alleen op als hier om wordt gevraagd.
Opmerking: GEBRUIKER@DOMEIN is incompatibel met /netonly.
Opmerking: /profile is niet compatibel met /netonly.
Running Windows Under Non-Admin Accounts
Protecting Shared Folders In Windows XP Home : over het verborgen gastaccount.
SetACL - Windows permission management
Native Computer Systems heeft een heleboel gratis netwerk en ACL utilities.
Malware Help.Org-Malware Prevention-Spyware Prevention-Hardening Windows Security
Symantec-rapport over internetbeveiliging constateert aanzienlijke toename van cybercriminaliteit
Aaron Margosis' WebLog : Non-admin for home users :
HallOfShame van programma's die niet met beperkte rechten kunnen draaien.
Local Administrator/Power User. Non support of Patching. Hall of Shame biedt een soortgelijke zwarte lijst.
De informatie hieronder komt van Microsoft.
How to Use Regini.exe to Set Permissions on Registry Keys
How To Audit User Access of Files, Folders, and Printers in Windows XP
How to Set Security in Windows XP Professional That Is Installed in a Workgroup
Default NTFS Permissions in Windows 2000
How to enable and use the "Run As" command when running programs in Windows
Microsoft voor Thuisgebruikers - Windows XP beveiligen
Beschrijving van het delen van bestanden en machtigingen in Windows XP
Tips & trucs : Tijdelijk beheerdersrechten aan uzelf toekennen
Bepaalde programma's werken niet goed als u zich aanmeldt met een beperkte gebruikersaccount
Problemen met programmacompatibiliteit in Windows XP oplossen
Toegangsbeheer in Active Directory
Lees dit voordat u de FaJo XP File Security Extension (http://www.fajo.de) gebruikt!
De account Eigenaar wordt weergegeven als 'Onbekende account' in Profielen op computers met Windows XP Home Edition
Procedure: Machtigingen voor bestanden en mappen instellen, bekijken, wijzigen of verwijderen in Windows XP
Speciale machtigingen voor bestanden en mappen instellen, weergeven, wijzigen of verwijderen in Windows XP
Foutbericht 'Toegang geweigerd' wanneer u een map probeert te openen
Procedure: Eigenaar worden van een bestand of map
Foutbericht: 'Toegang geweigerd' wanneer u mappen van het NTFS-bestandssysteem probeert te openen