Geen enkel systeem, ook Windows 7 niet, is helemaal dicht te timmeren.

Wil je echt heel veilig werken? Gebruik dan een Linux Distro.

Nog beter, hang je pc gewoon niet aan het internet.

elk apparaat is zo veilig als de gebruiker hem gebruikt en instelt.
zet je er een internet verbinding op dan is het mogelijk om daarlangs binnen te komen. anders zou je ook geen data van internet kunnen laden. hetzelfde geld voor usb poorten en usb stick. alle input op welke manier dan ook kan in potentie een vorm van manipulatie van het systeem zijn. zonder input mogelijkheden kun je er ook niets mee, het is dus zaak om dat zo lastig mogelijk te maken (best practices, patching, anti-virus, anti-malware e.d.)

ja best practices toepassen zijn voldoende en dat is ook de enige mogelijkheid, dat geld eigenlijk voor alle besturingssystemen.

Probeer het eens met emet, een virusscanner en een andere browser dan IE. Daarmee is windows 7 redelijk goed dicht te timmeren. Google heeft er zelfs 150.000 dollar op gezet. ;)

Mocht dat niet goed genoeg zijn, dan kun je altijd naar linux uitwijken. Of, beter nog, OpenBSD.

Realiseer je je wel dat de dingen die je opnoemt beslist niet de volledige lijst van toe te passen best practices is?
Om te beginnen met de updates:
Niet alleen Windows en andere Microsoft software moet up to date zijn met de laatste beveiligingsupdates, maar dit geldt tevens voor alle andere gebruikte software. Uiteraard geldt dat voor software zoals Adobe Flash Player en Adobe Reader en het al genoemde Java, maar ook veelgebruikte alternatieven en andere software hebben regelmatig een beveiligingsupdate nodig. Denk bijvoorbeeld aan Foxit Reader, een heel enkele keer PDF-XChange Viewer, Firefox, Google Chrome, LibreOffice, Apache OpenOffice, Thunderbird, VideoLAN VLC media player, GOM Player, NVIDIA video driver, en er bestaat nog veel meer software die af en toe of regelmatig een beveiligingsupdate nodig heeft. Zonder die benodigde beveiligingsupdates zit je met een systeem vol kwetsbaarheden.

Nog enkele dingen om beslist toe te passen:
- Gebruik gescheiden Administrator- en Standaardgebruikersaccounts, waarbij die eerste enkel gebruikt wordt voor beheerswerkzaamheden en die tweede beperkte rechten heeft en voor dagelijks gebruik dient.
- DEP voor alle programma's en services inschakelen (eventueel via EMET).
- SEHOP toepassen (eventueel via EMET).
- EMET toepassen (https://www.security.nl/posting/41491#posting370538).

Maar er is beslist nog meer te doen, diverse kleine en grotere hardening-aanpassingen én verstandig gebruik zorgen samen voor een veilig systeem. Waarbij je je moet realiseren dat "veilig" nooit absoluut kan zijn.

Kort antwoord: Ja, dit is best te doen voor een eindgebruiker, nee het is allemaal niet makkelijk ;]


Dit dus.


A] Het zou handig zijn als je vermeld voor welke dreigingen je jezelf wil beschermen.

B[ Vervolgens kun je systeem (ongeacht OS) zo goed proberen dicht te timmeren als je zelf wilt, helaas is het niet het systeem maar de gebruiker die de grootste kwetsbaarheid vormt.

C] Verder kun je 1000-en-één dingen doen om jezelf minder kwetsbaar, minder zichtbaar, minder interessant en/of minder vatbaar te maken voor dreigingen. Van een firewall tot updaten, van een custom router tot een goed account-beleid en van een goede AV tot een VPN.

Wat Spiff zegt. Daarnaast lijkt het me goed voor je geestelijke gezondheid om met een realistische blik te kijken naar de eventuele dreigingen en wat het effect daarvan zou zijn. Benoem een risico en probeer een tegenmaatregel te bedenken.

Stel dat je belangrijke foto's op jouw systeem hebt staan, zorg dan op z'n minst voor een goede backup zodat je in geval van een gijzelvirus of defecte harde schijf toch de foto's veilig hebt.

Zo zijn er nog honderd te verzinnen. Dit zorgt er echter voor dat je grip op de zaak houdt en bewuste keuzes kan maken.

By the way: Laatst liep ik tegen Ninite aan wat ik persoonlijk erg prettig vind werken om de boel up to date te houden.

Maak je eigen mesh netwerk.

Dan kun je het veilig noemen.

Aan topicstarter:
Nog een andere optie daartoe, dat is Secunia PSI.
Secunia PSI is enkel gericht op security updates en negeert non-security updates.
Zoals Secunia vermeldt:
"it scans software on your system and identifies programs in need of security updates".
Voor Secunia PSI versie 3 geldt tevens dat het security updates automatisch kan doorvoeren:
"It then supplies your computer with the necessary software security updates to keep it safe. The Secunia PSI even automates the updates for your insecure programs".
http://secunia.com/vulnerability_scanning/personal/
http://secunia.com/vulnerability_scanning/personal/how_it_works/
Wie Secunia wil gebruiken om te checken, maar niet voor het automatisch doorvoeren van updates, die kan het automatisch doorvoeren van updates uitschakelen in PSI versie 3, of PSI versie 2 of zelfs versie 1 gebruiken, die ook nog allebei aangeboden en ondersteund worden:
http://secunia.com/products/consumer/PSI/sys_req/

Instellingen in programma;s zijn vaak ook van belang. Zo zet ik standaard scripting in pdf documenten uit, mocht een document er om verzoeken dan kijk ik op individuele basis of ik dat vertrouw (belastingdienst zooi heeft het vaak nodig bv., die vertrouw ik wel als ik ze zelf opgehaald heb daar).

Ik heb Secunia ook draaien op een paar systemen, maar ik geef zelf meer de voorkeur aan de minder systeembelastende handmatige oplossing van Ninite. Secunia pas ik vooral toe bij systemen waar ik eens in de maand aan kom (zoals bij vrienden of familie) en ik merk dat best wat updates niet automatisch geïnstalleerd worden zoals bijvoorbeeld Shockwave wat me dan toch weer irriteert.

Bedoel je het handmatig gebruik van Ninite, al dan niet met een persoonlijke installer,
of bedoel je met de betaalde Ninite Updater, die automatisch scant op updates?

Bedoel je handmatig gebruik van Ninite, zonder de betaalde Ninite Updater, dan zou je dat niet moeten vergelijken met Secunia PSI versie 3 met automatisch controleren en automatisch updaten ingeschakeld, maar dan zou je moeten vergelijken met Secunia PSI waarbij automatische opties zijn uitgeschakeld.

Ik heb zelf geen ervaring met PSI 3 met automatisch controleren en automatisch updaten ingeschakeld, ik gebruik zelf PSI 2 met automatisch controleren uitgeschakeld, dus ik kan niet spreken uit ervaring. Wel heb ik op Het Secunia PSI forum gelezen dat sommige software nog niet automatisch geupdate kan worden via Secunia PSI 3.

Wil iemand het controleren en uitvoeren van security updates zo veel mogelijk automatiseren, dan zou Secunia PSI 3 met automatisch controleren en automatisch updaten gebruikt kunnen worden, met daarnaast het gebruik van Ninite specifiek voor die software die niet automatisch geupdate kan worden door middel van Secunia PSI.

Een mooie conclusie. Ik gebruik de gratis handmatige Ninite toepassing, dus de .exe die de opgegeven programma's naloopt en indien van toepassing update naar de nieuwste versie.

Iets wat ook handig(er) aan Secunia PSI is, is dat het je systeem scant op programma's en zeker bij systemen waar ook anderen op werken wil er wel eens software op komen zoals Google Chrome, die dan meteen meegenomen wordt in het resultatenoverzicht.

En daar gaan we weer - de eindeloze Windows/Linux/Apple discussie...


Elk OS dat door mensenhanden is gemaakt, en waarvan niet op een mathematisch wijze is bewezen dat deze foutloos is, bevat bugs. Apple's iOS bevat bugs (anders was een jailbreak niet mogelijk), Linux bevat bugs, en Windows ook (maar dan wel wat meer dan de hiervoor genoemde OS-en). Toch is de trend dat de OS-en steeds veiliger worden. De zwakke schakel nu is, naast de niet-OS software die je installeert a la Flash en Java, de gebruiker. De gebruiker klikt op links, de gebruiker laat zich overhalen 'cracks' te installeren om gratis games te installeren, de gebruiker wil snel rijk worden.

Als je dus zorgt dat jouw gebruikers slim genoeg zijn om niet in al die trucs te trappen, dan surf je blij over het wereld wijde web ongeacht je OS. Windows, Linxus, Mac OS-X - allemaal prima, als je maar een beetje oplet...

Het is inderdaad zo dat "bug-vrije" software vrijwel niet bestaat. Het gaat echter om de implicaties van deze "lekken".
Voorzover ik weet is Windows het enige OS ter wereld waarbij het kinderlijk eenvoudig is om via een lek in een applicatie het complete besturingssysteem over te nemen zonder dat de gebruiker dit merkt (DCOM FTW). In Tux en BSD is er sprake van een volledige scheiding tussen kernel en applicaties, zodat dit nooit kan voorkomen zonder één of meerdere specifieke handelingen aan de kant van de gebruiker (bv. root wachtwoord intikken om de malware te laten installeren). In dat geval is de gebruiker uiteindelijk de zwakste schakel.

Overdrijven is ook een vak. Zo goed als alle Windows 'overnames' vereisen een handeling van de gebruiker. Dat Windows zo makkelijk onderuit gaat heeft er mijns inziens voornamelijk mee te maken dat het gros van de gebruikers geen idee heeft wat ze aan het doen zijn. Maar goed, de architectuur helpt daar niet echt mee.

En zelfs in deze gevallen is het nog mogelijk om deze systemen te infiltreren, zie stuxnet.
En alhoewel stuxnet vrij geavanceerd was, is het wel een goed voorbeeld dat systemen die niet aan het internet zijn verbonden, nog steeds kunnen worden aangepakt.

@topicstarter
Tegen 0days e.d. kun je helemaal niks doen behalve gewoon niet naar 'shady' websites gaan.
En zelfs dan nog kan je geinfecteerd worden bijvoorbeeld een malicious advertentie wat de laatste tijd in trek is.

en jij vertrouwd een open OC waar wie weet niet achter kan zitten , daar ga ik niet mee internetbankieren of wat ever !!!!!

Je moet even bedenken dat "best practices" redelijk beperkt zijn in wat ze kunnen doen.

Wat bijvoorbeeld al niet kan is de systeemsoftware vervangen door iets met betere interne architectuur om redenen die helemaal niets met techniek te maken hebben. Bedenk maar eens waar die redenen dan wel vandaan komen.

Technisch gezien --zoals hierboven al aangestipt-- heeft de software te weinig en te zwakke interne scheidingswanden, waar anderen dit wel hebben. Vergelijk het met een sloep, of zelfs een opblaasboot; een enkel gaatje onder de waterlijn en het ding verzuipt. Een schip, oorlogsschepen helemaal, hebben wel scheidingswanden en dus de mogelijkheid te compartimentaliseren en zo een verzuipen te voorkomen of tenminste te vertragen.

Maar best current practices zijn dus zeg maar lijstjes met instructies om toch vooral geen gaatjes in de scheepswand te prikken, want dan verzuip je. "Veilig" is een heel groot woord in deze context.

Zo groot zelfs dat er een hele industrie omheen gegroeid is. Een industrie die wel met vele "oplossingen" te koop loopt maar nooit werkelijk iets zal oplossen, want binnen het gegeven kader kan dat gewoon niet. Er is alternatieve systeemsoftware waar de markt voor oplapmiddelen ook relatief aan het marktaandeel een stuk kleiner is, tot bijna geheel afwezig.

Wil je "veilig" dan moet je de context veranderen, een context kiezen waar het niet zo'n groot woord is. Doe je dat niet dan blijf je met een situatie zitten zoals jij die ziet: Je kan best wel het een en ander oplappen en aanpassen, maar het blijft behelpen. En het gevoel dat je altijd met de kraan open zal dweilen raak je ook nooit kwijt.

Serieus?

"
4- What are drive-by download attacks and targeted attacks?

Cyber criminals employ ”exploit kits” to infect victims. These are specially configured servers whose only purpose is to infect victims using drive-by download attacks. The victim is lured into visiting a webpage (normally by sending spam or by injecting iframes into legitimate websites). Once the webpage loads it queries the browser and helper applications (Java, Flash, etc.) and automatically sends the victim the most appropriate exploit which executes malicious code (malware) on the victim's computer transparently and without requiring any user interaction. [/snip]
"

Bron: https://forums.malwarebytes.org/index.php?showtopic=136424

En dan heb ik het nog niet eens over worms (Sasser, Code Red....)

Het gebruik van een adblocker is een van de maatregelen die je kunt nemen om je zo goed mogelijk te beschermen.
(En daarnaast worden veel websites er ook een stuk overzichtelijker en rustiger van.)

Hoe voorkom je dat je ziek wordt? Hier kun je een hoop aan doen, maar 100% garantie (of 100% veilig) is gewoon niet haalbaar. Zoals niets in het leven 100% te garanderen is, behalve de dood.

@ Topicstarter,
Zijn je vragen inmiddels al zo'n beetje beantwoord?
Heb je naar aanleiding van de reacties misschien nog aanvullende vragen?

Grappig is dat ik niets lees over het echt extra beveiligen van Windows, binnen Windows zelf....
Er zijn tal van Group Policies die hoger ingesteld kunnen worden.
Alleen zal dit ten kosten van functionaliteit gaan.

Hier een voorbeeld van een tool van Microsoft zelf:
http://technet.microsoft.com/en-us/library/cc677002.aspx

Security Compliance Manager, hier kan je de Local Group Policy vergelijken met een Template met High Security.

Ook instellingen zoals Applocker en Bitlocker maken het OS stuk veilig (wat standaard ook niet aan staat).
Natuurlijk de gewoonte om als Local Admin in te loggen helpt ook niet.

Standaard bezit Windows al vele security settings, alleen worden deze bij default niet ingeschakeld of benut.
(Moet wel zeggen dat sommige features alleen in Enterprise editie beschikbaar zijn!)

Geen enkel systeem is 100% veilig..
Windows 7 is net zo goed veilig te maken als een Linux distributie als je maar begrijpt wat je doet. Je kunt beter Windows 7 veilig maken, als je windows kent, dan met Linux beginnen zonder dat je weet wat je doet (ook al hangen hier veel mensen rond die wat anders beweren).

Dat is helaas een onvolledige beschrijving. Heeft de gebruiker namelijk normale gebruikersrechten en UAC aan dan wordt er keurig een melding weergegeven. Dat de gebruiker Admin is en UAC uit zet of blind wegklikt is wederom een manco van de gebruiker. Er zijn wel manieren om UAC te ontwijken maar dat doet het 'kinderlijk eenvoudige' toch de das om.

Group Policies was inderdaad nog niet besproken, maar het is niet helemaal waar dat er in deze thread nog niets is gezegd over het toepassen van beveiliging binnen Windows zelf.
Ikzelf noemde eerder onder meer DEP en SEHOP (https://www.security.nl/posting/377395#posting377491).
Dat ik aangaf dat DEP en SEHOP eventueel via EMET toegepast kunnen worden, dat neemt niet weg dat ze ook via Windows zelf toegepast kunnen worden.

BitLocker of andere drive encryption kan zeker waardevol zijn, maar ik vind het niet voor elke gebruiker aan te raden.
Wie onzorgvuldig van aard is en het potentieel in zich heeft om sleutels kwijt te maken en tevens geen onversleutelde backups bewaart, die kan er heel lelijk mee in de problemen komen.

Het gebruiken van gescheiden Administrator- en Standaardgebruikersaccounts was eveneens eerder genoemd (https://www.security.nl/posting/377395#posting377491).

Group Policy is behalve in de Enterprise edities tevens beschikbaar in de Windows Vista, 7 en 8 Professional edities (bij Vista heet dat Business) en in de Windows Vista en 7 Ultimate edities.
BitLocker is behalve in de Enterprise edities ook beschikbaar in Vista en Windows 7 Ultimate en in Windows 8 Pro.
AppLocker is behalve in de Windows 7 en 8 Enterprise edities ook beschikbaar in Windows 7 Ultimate.

Veilig voor wie? Is de vraag.
Misschien denk je dan niet aan de NSA, maar een beetje veilig bestaat in de computer wereld gewoon niet, genoeg hackers die je systeem wellicht ook gewoon binnen kunnen komen.
Vergelijk het maar met een gloeilamp, of ze brandt en werkt, of de gloeidraad is stuk, en de lamp brandt niet.
Punt is dat je het meestal niet eens in de gaten hebt, als je niet de nodige tools
hebt geinstalleert of zaakjes nakijkt met regelmaat. Ik denk dat alle gewone tools hier al besproken niet de juiste
zijn, maar dat men meer naar tools als Wireshark, e.d. moet kijken of SIP tools, en log's moet gaan inkijken.
Veel mensen lachen meestal als we enkel denken dat de NSA binnen kan komen, maar daar blijft het heus niet bij.
Ik de tijd van Windows95 weet ik nog dat het een toolte was die steeds alarm sloeg als iemand een poortscan deed
op jouw pc. Naam is me even ontschoten. En die optie kon je in en uitschakelen. Met die tool zag je pas hoe erg het was
en hoe vaak per uur iemand aan het scannen was. Ik geloof per dag wel een keer of 200. Ik weet dat er genoeg mensen waren die vroegen waar ze dit konden melden, en niet begrepen dat een ISP wel wat anders heeft te doen.

Microsoft kan zo binnenkomen want die weten welke lekken nog gepatched gaan worden.
De NSA hebben teams die exploits hebben om binnen te komen.
Je ISP kan je router resetten en een poort openzetten.
Iedere malwareschrijver die exploits kan schrijven kan je systeem ook binnenraken.

Over software bugs kunnen we ook kort zijn want ook andere mensen die de broncode kunnen nakijken
kunnen deze naar eigen wijze uitbuiten. Mist je kennis van een en ander hebt. Dus niet enkel de NSA en Microsoft.
Neem de Duitser Karsten Nohl en nog een paar andere mensen die weten manieren genoeg waarvan wij weer
niet de hoogte zijn.

Als je alle video's hebt gezien van bijv. Jacob Appelbaum die durf je je PC helemaal niet meer te gebruiken.
https://www.youtube.com/watch?v=12OxkX3IVVo
https://www.youtube.com/watch?v=ndx0eox0Lkg
https://www.youtube.com/watch?v=R8QFPf2RMCQ
https://www.youtube.com/watch?v=Vt7XloDNcm4

Hacker Adrian Lamo kan pc's binnen dringen door enkel een browser te gebruiken.
https://www.youtube.com/watch?v=CdfeXqKDWHg

En zo zijn er een boel video's en documentaire's die ik heb gezien, maar weet niet meer precies de titel op
youtube. Laatst sprak er nog een Duitse hacker op de Europese Unie dat inderdaad geen een apparaat aangelsoten
op internet veilig is.

Dus naar mijn mening is een O.S. nooit veilig, misschien wel een live kiosk systeem met enkel een browser
of een linux distro als Tiny Core. OpenBSD, Debian, en afhankelijk van het programma en services wat men runt.
Of een Live CD als bijv. Tails.

http://justbrowsing.info/
https://tails.boum.org/
http://www.tinycorelinux.net/
http://www.openbsd.org/

Ik denk dat 92% het niet eens echt wat uitmaakt, en veel mensen nemen niet eens de moeite om wat te vragen, op te zoeken e.d. Gebruikersgemak en niet willen betalen zijn vaak de oorzaak van alles, en veel materie te vaak niet erg
gemakkelijk en te begrijpen.

En in de toekomst word het alleen maar erger wat dan gaat alles met elkaar communiceren.

Kijk eens naar wat Mr. Snowden ons allemaal heeft geleerd, ik durf te wedden dat 90% nog steeds geen gebruik maakt
van E-mail encryptie zoals PGP of GNU PGP.

Tja we weten het wel, maar het raakt ons nog steeds niet.

Dit als inleiding kondigt vrijwel altijd juweeltjes aan zoals de volgende:

Nee. Sorry. Helaas. Ik kan je het waarom nog wel een keertje gaan uitleggen maar als je dat na hier flink meelezen nog niet hebt opgepikt dan is het moedwil of onkunde. Ja, je kan ze allebei flink dichttimmeren. Nee, ze zijn dan nog steeds niet "gelijk" veilig. Wat redmond produceert zal eigenlijk altijd achterlopen, en dat om een hele trits verschillende redenen waaronder, maar niet beperkt tot, marktaandeel, hoe hun houding is, hoe hun bedrijf inelkaar steekt, hoe de code zich historisch ontwikkeld heeft, architectuurkeuzes, achterliggende aannames, en zo verder.

Als je het moet vragen dan moet je sowieso flink bijleren, dus gaat deze vlieger niet op. Leuk geprobeerd, dat wel, en het mechanisme wat je aanstipt klopt ook wel. Maar TS vraagt het, dus is dat hier niet van toepassing.

Als jij denkt dat een Linux distro dat X11 gebruikt als display server veiliger is dan Windows 7, dan raad ik je aan om je eens (wat meer) te verdiepen in X11.

Hedendaags is het belangrijkste probleem in beveiliging PEBKAC. Daarbij heb je wel gelijk dat er veel meer malware bestaat voor Windows besturingssystemen dan voor de diverse alternatieven; alleen al dit feit maakt dat Windows wel direct op een achterstand staat. Dus is het gebruikersaspect op Windows belangrijker dan op de alternatieven en moet je iets meer moeite doen omdat de dreiging groter is. Wil je je echter beveiligen tegen een goede hacker die het specifiek op jouw device gemunt heeft, dan maakt het niet zoveel uit welk OS je gebruikt.

Ik begrijp een aantal zaken niet.

1/ "Best practices".
Dat is je verschuilen achter bekende maatregelen. Helaas is de achtergrond waarom je het zou doen niet goed beschreven of bekend. Het simpel regeltjes uitvoeren omdat dat veiligheid zou bieden is echter schijnveiligheid.
Waar gaat het om: "standard of good practice" schrijft voor dat je moet bedenken wat hackers/kwaadwillenden zouden kunnen doen, wat de kans en de impact daarop is. Dan moet je alsnog eerst bedenken of je in maatregelen wil investeren, (wanneer hoeveel). Dat heet gewoon professioneel bezig zijn.

2/ Windows zou niet veilig zijn en Unix (Linux) wel?
Unix is niet ontworpen om veilig te zijn BSD 4.3 de root-key benadering is zelf de naamgever voor de root-kit als hack aanval. Net onlangs de Fritz-modems koelkasten al relay-devices (draait allemaal zeer waarschijnlijk Unix).
Kom je in grotere bedrijven dan zie je dat ze Windows dekstop aardig onde controle hebben met beheer.

Echter als je naar Unix - Linux implementaties kijkt is het om te janken. Gebruik van Linux/Unix komt nauwelijks van de grond in grotere organsaities. Reden te moeilijk voor gebruikers (analisiten bi werkveld) dan wel de IT ondersteuning. Als er wat gedaan wordt, dan:
- is de sudo invulling, scheiding van functies/rollen etc. gewoon niet te doen.
Heel ergerlijk is dat ze het met Windows wel normaal vinden en wel invullen. AD zit veel beter in elkaar en wordt echt veel beter gedragen, dan allerlei niet gestandaardiseerde niet geintegreerde security met Unix(linux) omgevingen.
Kom nu een met die uitbreidingen zoals RedHAt and up (Se-Linux) Suse 10 en doe het nu eens goed met een RBAC strategie. (SE Secyurity Enhanced wegens b.v FIPS eisen)

Alle besturingssystemen bevatten kwetsbaarheden. Het blijft immers software.
Zelf gebruik ik al tijden Arch Linux en ondanks dat het Linux is blijven er kwetsbaarheden inzitten.

Ook Windows 7 is relatief veilig te gebruiken. Daarbij heb je echter een paar regels, die eigenlijk voor alle Osses gelden.
1. Gebruik je gezonde verstand
2. Download niet allerlei troep
3. Zorg voor een goed beveiligingspakket
4. Log niet standaard in als beheerder, maar als een gewone gebruiker. De kans dat er onbedoeld iets wordt geinstalleerd wordt dan ineens een stuk kleiner.
5. Draai op tijd je updates (Microsoft brengt elke 2e dinsdag van de maand zijn updates uit)

Maar zoals Ler0y JenKins terecht opmerkte : Beter hang je je systeem niet aan internet :)

tweakers.net/.../fout-in-linux-kernel-maakte-debian-hack-mogelijk.html?dus wel jefdom

Zeker wel,ieder OS heeft zijn eigen manier van beveiligen.
Maar ja geen enkel systeem is waterdicht.
Het blijft altijd wel een beetje een kat en muisspel tussen hackers en softwareproducenten.
Patches in software helpen om kwaadwillenden een streep voor te zijn.
Niet alleen daarvoor,maar ook om programmafuncties en fouten te verbeteren.
Het is voor de gebruiker echter zelf de verantwoordelijkheid om zijn systeem naar eigen keus voor zijn eigen gebruik te beveiligen,tegen de as van ket kwaad zoals virussen,wormen,trojans,spyware,malware en noem maar op.
Ik neem daar ook de beveiliging van je netwerk mee,daar moet je ook zelf zorg voor dragen dat er niet zomaar ingebroken kan worden.

@jefdom
1: Dat artikel komt uit 2003
2: Het is groot nieuws wanneer er een lek gevonden is in de linux software. Met de software van microsoft is het bijna dagelijks nieuws.

Android is het mooie antwoord.
Ondanks het platform, gebruiken mega veel mensen dit, ook geen IT specialisten, oftewel de Consument!
En de consument behandeld deze telefoon netzoals een Windows computer.
Alles installeren, next, next, klik en klik, en vooral niet lezen en gewoon doen!
En wat is het resultaat ;-)
OSX zie ik ook soms meldingen in het nieuws, meestal veroorzaak door het klik gedrag van de gebruiker, nog geen eens het OS. (Attachments emails of Drive-By downloads....)

Beveiligings tips:

1: Gebuik doorgaans een beperkt account en gebruik het administrator account alleen als het echt niet anders kan.

2: Installeer altijd alle windows updates(zet deze op automatisch installeren) en ook de updates van al je andere programma's en drivers.

3: Zorg ervoor dat je firewall altijd aanstaat.

4: Gebruik een adblocker zoals "adblocker plus". Download deze via "een traceerbeveiligingslijst downloaden". Dit vind je onder "invoegtoepassingen beheren" bij de internetopties.

5: Als gratis extra'tje kan je McAfee's "Siteadvisor" downloaden op "www.siteadvisor.com" en gebruik "google.nl" voor al je zoekopdrachten om zo te zien of de zoekresultaten veilig zijn of niet.

6: Klik nooit op advertenties en popups, hoe officieel ze ook lijken.

7: Gebruik het lieft de meest recente versie van je browser en probeer je settings zo veilig mogelijk in te stellen.

8: Gebruik als het kan een zo recent mogelijk besturingssysteem.

9: Gebruik een "officieel" antivirus programma.

10: Als het ook anders kan installeer dan geen JAVA van Oracle omdat dit een erg kwetsbaar platform is.

Windows ondersteunt nu eenmaal meer software, hardware en games dan andere OS-en. En Windows heeft meer gebruikers, en daarnaast een hoger percentage gebruikers zonder enige technische kennis. Interne servers in bedrijven, ook daar is Windows het vaakst het server OS. Tel je alle extern benaderbare servers mee, webservers met name, dan is Linux het meest gebruikte server OS.
Conclusie uit het bovenstaande, het attack surface van Windows is heel veel groter dan bij andere OS-en. Ook heeft een windows-systeem vaker interessante gegevens aan boord, zoals persoonlijke gegevens op desktops/laptops en interne bedrijfsggevens op interne corporate servers.

Dus wil je heel erg veilig zijn? Gebruik je windows pc alsof het een linux systeem is. Je kunt er dan niet op gamen dus geen World of Warcraft spelen, en niemand zal proberen via een virus je wow-account te stelen. Zet UAC op zijn allerhoogst, zodat je niks kunt installeren, zonder een boel gedoe, het lijkt nu net een linux pc! Geen office files uitwisselen met atechnische gebruikers, office 2013 doet het toch niet op linux en photoshop trouwens ook niet.

Alernatief: let gewoon op bij wat je doet, draai een virusscanner en antimalware. Ik heb in 15 jaar Windows nog nooit een serieus virusprobleem gehad en ben nog nooit gehackt. heb wel eens wat malware gehad, maar dat verwijder je dan gewoon.

Kopt, Maar zolang je een goede firewall en antivirus bij je hebt is het een stuk veiliger.
En het vermeiden van freeware het gebruik van ABP lost al veel problemen op.
Maar zoals iedereen hier al zegt, Een pc is niet helemaal veilig.

Vermijden van freeware?
Dat heb ik hier of elders al eens eerder gelezen als panacee. Misschien geopperd door dezelfde poster?
Waarom freeware vermijden?
Vrijwel alle software die ik gebruik is freeware.
Er is niets mis met freeware, mits je (1) kritisch selectief bent en niet zomaar alles dat je vindt of krijgt aangeboden op internet download en installeert, maar (2) over elk stuk software dat nieuw voor je is eerst ruimschoots en breed informatie verzamelt voordat je al dan niet besluit het te installeren en gebruiken, (3) de software download van de site van de auteur of van een andere betrouwbare download-locatie en niet zomaar vanaf de eerste de beste vage site, en je (4) bij het installeren oplet de eventueel (vaak!) mee-aangeboden crapware of adware niet mee te installeren.
Wanneer die voorgenoemde punten 1 t/m 4 te moeilijk voor je zijn, dan is zelfstandig computergebruik wellicht hoe dan ook te hoog gegrepen.

Met het vermeiden van freeware bedoelen ze, Iligaal freeware.
Zoals free gta v en al die andere spellen die ze gratis illigaal verkopen dat eigelijk niet mag, Daar zit vooral veel malware op.

Dat is dan beslist géén freeware, maar dat zijn dan gekraakte versies van commerciële software.
Dat gekraakte versies van commerciële software 'gratis' te verkrijgen zijn, maakt het beslist géén freeware.

Hier wat uitleg over wat freeware wél is:
http://www.techsupportalert.com/content/what-freeware.htm
http://www.techsupportalert.com/freeware.htm
https://en.wikipedia.org/wiki/Freeware


(En P.S.
Ik nam aan dat het een eenmalige toevallige spelfout was in de bijdrage van 15:19 uur, maar ik zie het nu ook weer in de reactie van 19:12 uur: "vermeiden".
De spelling vermeiden is echter Duits. In het Nederlands schrijf je vermijden.)

Probeer vermeiden en vervelen eens letterlijk te nemen. ;)

Ja

Wij hebben in het bedrijfsnetwerk 1 keer een Mac gehad die, gezien het netwerkverkeer, hoogstwaarschijnlijk in een botnet zat. Geen idee van het hoe en wat, de gebruiker heeft de Mac opnieuw geïnstalleerd en het was over.

Wat betreft Linux/Unix moet het vooral duidelijk zijn dat het niet mijn ding is, dus ga ik dingen roepen die waarschijnlijk niet helemaal volledig zijn. We hebben uiteraard een paar Linux servers en workstations en naar wat ik heb vernomen van de beheerders van dat 'wagenpark' hebben ze wel eens problemen gehad met malware en Apache. Al is het daar altijd de vraag tot in hoeverre daadwerkelijk het OS last heeft van malware.

Vergeleken met het leeuwendeel aan Windows systemen is het een bijzonder rustige omgeving wat betreft malware. Daarbij moet worden gezegd dat we nauwelijks gebruik maken van AV producten op die omgevingen en dat er slechts gekeken wordt naar verdachte IP adressen en ander verdacht gedrag.

Het is niet dat ik me verre houd van Linux, het is meer dat ik er niet diep genoeg in zit om er iets zinnigs over te zeggen. Voor mij heeft het op m'n werk geen toegevoegde waarde want Windows 7 en Mac. Thuis heeft het geen toegevoegde waarde want ik houd van gamen. Nu weet ik dat de laatste jaren het gamen op Linux aardig gaat maar mijn dure videokaart doet het op z'n best op halve kracht onder Linux. Niet de schuld van Linux etc... maar doet het voor mij dus ophouden.

Denk nu niet dat je het probleem daarmee oplost. Van IOS ook gebaseerd op BSD 4.3 werd/wordt hetzelfde beweerd.
Je kunt nu dezelfde soort adviezen als over Windows vinden, bijvoorbeeld.
http://www.lifehack.org/articles/technology/10-ways-prevent-your-mac-from-being-hacked.html
komisch het zijn dezelfde soort adviezen als bij Windows

En als je het over een root-kit hebt (nare dingen) of het root-en van je phone. De naamgeving is afkomstig van de Unix (Linux) omgeving, de root-key als ongecontroleerde toegang tot alles. Die oorsprong is ongelofelijk oud (ca 1970).
http://nl.wikipedia.org/wiki/Unix. Beweren dat Linux wat anders is? sorry: http://nl.wikipedia.org/wiki/Linux of android? http://en.wikipedia.org/wiki/Android_(operating_system)

Een raar alternatief?

Zet alle uitvoerbare programma's op de systeem (Windows) schijf.
Zet de automatische updates en de (virus)scanner(s) uit.
Verplaats alle persoonlijke gegevens naar een andere (interne) schijf, zet hier geen uitvoerbare bestanden op.
Verplaats alle gevoelige gegevens naar een externe schijf of USB-stick en zet z.m. het internet uit als deze schijf of USB-stick wordt aangesloten.
Maak een systeemkopie.
Draai de systeemschijf in een "zandbak" (b.v. met "Time Freeze").
Zet eens per week/maand de systeemkopie terug.

Doe gevoelige zaken zoals bankzaken via een live CD/USB-stick met linux.

In theorie start de computer altijd schoon op.
Doe op het internet waar je zin in hebt.
De kans op een actieve besmetting is klein maar niet onmogelijk.
Als de camera en microfoon worden uitgeschakeld zijn e.v.t. nare gevolgen beheersbaar en lekt er geen info naar buiten.

Om welke redenen?
Om naast de andere dingen die je aangaf problemen door 1. updates of door 2. automatisch scannen en handelen van een scanner uit te sluiten?
Als de gebruiker dan maar wel goed alert is op het zelf bijhouden van beveiligingsupdates.
En volledig uitschakelen van scanners lijkt me nogal overkill. De realtime beveiliging die kan verhinderen dat eventuele malware zich kan installeren of uitvoeren die zul je wellicht niet willen uitschakelen. Zolang je een scanner maar zo instelt dat die niet zelfstandig bestanden verwijdert of in quarantaine plaatst (maar in geval van verdachte bestanden waarschuwt en dan de gebruiker om een beslissing verzoekt) dan lijkt dat me geen probleem maar welkom, en ook de eerder genoemde realtime bewaking is welkom.
Zie jij het anders?
In dat geval, kun je dat dan uitleggen?

Ik zal het proberen:

Updates maar vooral scannen kost tijd en snelheid en is op deze manier ook niet zinvol.
De computer start in principe iedere keer schoon op, dus zullen e.v.t. besmettingen maar ook updates verdwenen zijn.
Vaak, niet altijd, zijn er twee acties nodig om malware zijn schadelijke werk te laten uitvoeren, kort door de bocht:
1. Het bezoeken van een besmette plaats.
2. Het activeren van de malware door het juiste programma te starten (of de computer te herstarten).
Dat dit allebei in een sessie plaatsvindt is niet waarschijnlijk maar ook niet onmogelijk.
Het ergste wat er kan gebeuren is dat malware de computer blokkeert, vervelend maar herstelbaar, echter ook bij de gebruikelijke manier van beveiligen is dit mogelijk.
Het blijft natuurlijk verstandig een backup van belangrijke gegevens te maken.
Een systeemkopie terugzetten kost heel veel minder tijd dan een volledige scan en geeft meer zekerheid.
Voor mij is dit een gemakkelijke methode maar ik kan mij voorstellen dat het niet voor iedereen geldt.
Een aardige bijkomstigheid is dat het ook kan met Windows XP na april 2014.

Tot slot: Niets is 100% maar ik denk dat deze methode gemakkelijker en niet onveiliger is dan de gebruikelijke.

Uhm, ooit gehoord van temp-files? Log-bestanden dan? Je wil niet weten wat Windows zelf allemaal al bijhoudt, laat staan de software die je draait. Browsers zijn al helemaal een drama trouwens. En dan heb je nog key-loggers, die hebben geen week nodig om je passwords te ontrafelen!

Nee dan beter een VM waar je gewoon altijd een schoon OS start en waarvan je de host voor niets anders gebruikt dan de VM te draaien. En dan nog moet je uitkijken met zaken zoals printers, modems / routers / switches, NAS, firmware, smart-TV en allerlei andere zaken binnen je netwerk.


OT:
Win7 is prima te beveiligen, het is vrijwel altijd de gebruiker die het OS infecteert, niet andersom.

@ oningelogde poster/ Anoniem van 00:42 uur,

Dank je voor je reactie.
Ik begrijp je redenatie.

Maar is het wel je intentie dat de gebruiker beveiligingsupdates voor besturingssysteem en voor geïnstalleerde applicaties installeert wanneer die beschikbaar worden gesteld, neem ik aan en hoop ik?

Wat malware-infecties betreft, daarover geef je aan dat naast besmetting ook activatie van de malware plaatsvindt en dat je het niet waarschijnlijk maar ook niet onmogelijk acht dat dit allebei in een sessie plaatsvindt, en dat je aanneemt dat het ergste wat kan gebeuren is dat malware de computer blokkeert.
Ik weet niet in hoeverre je daarin gelijk hebt.
Ik weet niet hoeveel malware (zelfs in een standaardgebruikersaccount) in één sessie gelijk actief kan worden.
Een MitB infectie via een drive-by installatie misschien, bijvoorbeeld?
Naast hardening door de juiste systeem- en applicatie-instellingen, en gebruik van hulp zoals EMET en HitmanPro.Alert, lijkt het me niet onwelkom dat ook een malware-scanner realtime nog een oogje in het zeil houdt.
Ik heb het niet over een volledige systeemscan, die redelijk wat systeemreserves kan vragen, maar over realtime systeembeveiliging, die nauwelijks systeembronnen kost. Het beetje snelheid dat dat kost lijkt me nauwelijks relevant, zeker niet wanneer we uitgaan van de vraag van de topicstarter, die vroeg of en hoe Windows 7 te beveiligen is. Systeembelasting door realtime systeembeveiliging werd niet als een aandachtspunt genoemd.

Nee, het installeren van beveiligingsupdates is m.i. met de beschreven methode niet nodig omdat er weinig kan gebeuren.
Je kan gerust struisvogelpolitiek bedrijven. "Merk ik niets dan is er niets", want zodra de computer opnieuw is opgestart is er ook niets. En zou de malware de zandbak doorbreken dan is het probleem eenvoudig op te lossen door het terugzetten van de systeemkopie. Al de door jou aangehaalde beveiligingssoftware is onder de gebruikelijke omstandigheden nuttig maar maakt het werken met de computer niet eenvoudiger/prettiger.

Maar je hebt gelijk, de topicstarter vroeg inderdaad hoe Win 7 te beveiligen is, mijn voorstel behelst eerder veilig werken zonder zorgen. Een realtimescan houdt ook niet alle malware tegen. Het voordeel van mijn voorstel is het altijd beginnen met een schone computer, wat met de gebruikelijke methoden alles behalve zeker is en het voorkomen van ernstige schade. Als je vindt dat dit geen beveiligen is heb je een punt. Het grootste probleem van beveilig is m.i. dat die is gebaseerd op vertrouwen en dat staat de laatste tijd onder druk. Er is zelfs malware verspreid via updates, er is malware verspreid via "betrouwbare sites" enz. Veiligheid lijkt op kansberekening. Ik heb de door mij voorgestelde methode een half jaar uitgeprobeerd zonder problemen maar dat is natuurlijk geen garantie.

Terug naar de vraag hoe Win 7 te beveiligen is moet ik helaas zeggen "ik weet het niet". Ik denk dat echte veiligheid een illusie is.

Misschien was mijn bijdrage in dit geval niet relevant maar toch leuk dat je er op gereageerd hebt.

[/quote]Uhm, ooit gehoord van temp-files? Log-bestanden dan? Je wil niet weten wat Windows zelf allemaal al bijhoudt, laat staan de software die je draait. Browsers zijn al helemaal een drama trouwens. En dan heb je nog key-loggers, die hebben geen week nodig om je passwords te ontrafelen!

Nee dan beter een VM waar je gewoon altijd een schoon OS start en waarvan je de host voor niets anders gebruikt dan de VM te draaien. En dan nog moet je uitkijken met zaken zoals printers, modems / routers / switches, NAS, firmware, smart-TV en allerlei andere zaken binnen je netwerk.


OT:
Win7 is prima te beveiligen, het is vrijwel altijd de gebruiker die het OS infecteert, niet andersom.[/quote]

Je maakt het spannender dan het is.
Een softwarematige keylogger op een live CD/USB? niet erg waarschijnlijk toch?
En een softwarematige keylogger in de "zandbak" houdt het geen week uit, dus wat is het probleem?
En wat is het relevante verschil tussen Windows uitvoeren in een " zandbak" of als virtuele OS?

Je hebt wel gelijk dat de gebruiker een hoofdrol speelt.

Maar dit geldt niet per se tijdens de huidige sessie, waarbij potentieel een infectie heeft kunnen plaatsvinden, zoals wat ik 11:23 uur al noemde, bijvoorbeeld een MitB infectie via een drive-by installatie, die in het geheugen geladen kan zijn.
Veronderstelt de gebruiker "Merk ik niets dan is er niets", en gaat die dan tijdens die geïnfecteerde sessie vrolijk met die betreffende browser betalen met iDEAL, of internetbankieren, of iets anders doen waarvan je niet wilt dat kwaadwillenden er controle over hebben, dan heeft die gebruiker een serieus probleem.

Dat sluit een infectie van de sessie uit, mits de gebruiker voor de bankzaken niet eerst een andere potentieel onveilige site bezoekt. Een gebruiker die een site van een webwinkel bezoekt en aansluitend met iDEAL betaalt, die loopt mogelijk nog steeds het risico dat bijvoorbeeld een verse MitB infectie in het geheugen geladen kan zijn. Ik heb er geen volledig zicht op hoe realistisch dat is met bijvoorbeeld Firefox of Chrome via een Linux live-CD, maar het geeft me een onbehaaglijk gevoel. En het stellen dat een gebruiker die een site van een webwinkel bezoekt niet aansluitend met iDEAL mag betalen, dat lijkt me voor de meeste gebruikers weinig realistisch.

Zodra je actieve sessie wordt gekaapt tijdens het browsen, wat een relevant risico is wanneer de software niet up to date is, kun je nog steeds inloggegevens en andere data 'verliezen'. Dan is wellicht alle lokale data na een week weer veilig, maar je online zaken (inloggegevens webmail etc) kunnen wel opgevangen worden.

Ja en nee, er kan onbelangrijke data verloren gaan maar inloggevens niet zo snel omdat gevoelige zaken b.v. bankzaken via een USB-stick met live linux wordt gedaan. Onder gevoelige zaken versta ik alle zaken waarbij een inlogcode nodig is. Nog beter is het, maar niet voor iedereen van toepassing, om alle persoonlijke data, gevoelig of niet, op een externe HD te zetten en deze alleen aan te sluiten als het internet uit staat. Vergeet niet dat bij een standaardbeveiliging ook geen 100% zekerheid bestaat. Overigens is een e.v.t. besmetting in de meeste gevallen niet langer aanwezig dan tot de computer wordt uitgezet. Bij de standaardbeveiliging kan een onopgemerkte besmetting vrij lang en ongemerkt actief blijven. Aan de andere kant is het nu ook weer niet zo dat bij gebruik van het internet de malware in rotten van vier naar binnen marcheert. Veel hangt af van wat de gebruiker doet zoals je zelf al hebt opgemerkt.

Een standaardbeveiliging is vooral gebaseerd op vertrouwen. Ga voor de aardigheid maar eens na bij alles wat je t.b.v. de veiligheid doet wanneer je kan zeggen "ik weet het zeker". Weet je zeker dat je scanner alle malware onderschept? Weet je zeker dat de sites die je bezoekt veilig zijn? Weet je zeker dat je de laatste updates hebt geïnstalleerd voor alle programma's enz. enz. Ik vrees dat er weinig zeker is.

Dat sluit een infectie van de sessie uit, mits de gebruiker voor de bankzaken niet eerst een andere potentieel onveilige site bezoekt. Een gebruiker die een site van een webwinkel bezoekt en aansluitend met iDEAL betaalt, die loopt mogelijk nog steeds het risico dat bijvoorbeeld een verse MitB infectie in het geheugen geladen kan zijn. Ik heb er geen volledig zicht op hoe realistisch dat is met bijvoorbeeld Firefox of Chrome via een Linux live-CD, maar het geeft me een onbehaaglijk gevoel. En het stellen dat een gebruiker die een site van een webwinkel bezoekt niet aansluitend met iDEAL mag betalen, dat lijkt me voor de meeste gebruikers weinig realistisch.[/quote]

Helemaal mee eens, al is de kans op een effectieve besmetting bij linux niet erg groot.

Meer veiligheid kan maar dat kost geld.
Gebruik b.v. voor gevoelige zaken of desnoods voor alle internetzaken een Chromebook (299 €).
Naar grove inschatting, levensduur 4 jaar?, iets duurder dan een betaald veiligheidspakket maar met meer zekerheid en extra gebruiksmogelijkheden.
Hierbij wordt de veiligheid geheel automatisch en zonder gebruik van de (on)kunde van de gebruiker geregeld.
En gaat het dan toch fout dan kan de bank geen (grove) nalatigheid aanvoeren.

Dat geldt ook voor alle auto's. Toch halen vergelijkbare auto's verschillende scores in de botsproeven.
Het apparaat dat je gebruikt, kan zo ontworpen zijn dat het menselijk falen in zekere zin kan opvangen.
Denk aan een kniptang waarmee je je kabel doorknipt, waar blijkbaar toch nog 220V op stond ...
Het ene tangetje heeft ijzeren handvatten, het andere heeft een handvatten met dikke plastic isolatie.

Helaas wel. Talloze zelfs. Werp eens een blik in een datacenter met al die ongepatchte linux machines.


Ik mag toch echt hopen dat het BSD4.4 gebaseerd is... :) Daar zijn alle huidige bsd's op gebaseerd (vanaf het begin trouwens).

De meeste mensen die ik ken willen wat surfen, e-mailen, skypen, facebooken, films kijken en torrents downloaden. Welnu, voor je eigen veiligheid en gemak, zet als alternatief besturingssysteem Ubuntu op je machine. Daarmede kun je genoemde zaken uitvoeren. En mocht je programma's gebruiken die alleen onder Windows draaien, doe dit, maar koppel je daar volledig af van het internet. Hoef je direct ook niet druk meer te maken over je privacy, virussen en dergelijke. En ook bespaar je je centen doordat je weer opnieuw aan het infuus moet met Windows 8, 8.1...oh neen, het is alweer Windows 10....

Natuurlijk is ook Windows 7 goed te beveiligen, eenvoudig zelfs.
1 Een goed beveiligings-pakket.
2 Stel een apart gebruikersaccount in en doe daar alles op.
3 Stel wachtwoorden in op elk account.
4 Zet het gastaccount uit.
5 Gebruik een andere browser, geen internet explorer!
6 Zet hulp op afstand uit.
7 Gebruik Ghostery in je browser.

Iets pecifieker bij stap2:
standaard werken op een normaal gebruikersaccount(geen admin-rechten).
ook instellen dat er bij uac niet gevraagd word om credentials, maar bewust in moeten loggen om iets met het admin account te doen. dit zodat je ervan bewust bent dat je iets doet onder het admin account(een uac kan je makkelijk zonder erbij na te denken wegklikken/inloggen).

Hoop reacties, maar ik mis nog iemand die baselines toepassen roept. Dus doe ik het maar :)

b.v. https://benchmarks.cisecurity.org/downloads/show-single/?file=windows7.210